Kişisel bilgisayar hacklendi: Bu kullanıcının tekrar giriş yapmasını nasıl engelleyebilirim? Nasıl giriş yaptıklarını nasıl öğrenirim?


25

Kişisel bilgisayarımdaki sistemime sızıldığından% 99,9 eminim. İlk önce nedenimi açıklamama izin verin ki durum netleşsin:

Şüpheli etkinlik ve sonraki eylemlerin kaba zaman çizelgesi:

4-26 23:00
Tüm programları bitirdim ve dizüstü bilgisayarımı kapattım.

4-27 12:00
Dizüstü bilgisayarımı yaklaşık 13 saat bekleme modunda kaldıktan sonra açtım. Aşağıdakileri içeren birden fazla pencere açıktı: İki krom penceresi, sistem ayarları, yazılım merkezi. Masaüstümde bir git yükleyici vardı (kontrol ettim, kurulmadı).

4-27 13:00
Chrome geçmişi e-posta adresime girişler ve başlatmadığım diğer arama geçmişini (4-27'de 01:00 - 03:00 arası) "yükleme git" dahil olmak üzere görüntüledi. Tarayıcımda "Dijital Bash isteminizi nasıl özelleştirirsiniz" sekmesi olan Digital Ocean adlı bir sekme vardı. Kapattıktan sonra birkaç kez yeniden açıldı. Chrome'daki güvenliği sıkılaştırdım.

WiFi bağlantım kesildi, ancak yeniden bağlandığımda standart sembol yerine bir yukarı ok simgesi vardı ve artık Wifi
Bağlantısı Düzenle altında açılan menüde artık bir ağ listesi yoktu. Dizüstü bilgisayarımın bağlandığını fark ettim. "GFiberSetup 1802" adlı bir ağa 4-27 tarihinde ~ 05: 30'da. Komşularım 1802 xx Drive'da sadece google fiber kurdu, sanırım bununla ilgili olduğunu düşünüyorum.

4-27 20:30 komut ikinci bir kullanıcı adında konuk-g20zoo benim sisteme giriş yapmış olduğunu ortaya çıkardı. Bu Ubuntu'yu çalıştıran özel dizüstü bilgisayarım, sistemimde başka biri olmamalı. Panik yaptım, çalıştırdım ve devre dışı bıraktım Ağ ve Wifi
whosudo pkill -9 -u guest-g20zoo

Baktım /var/log/auth.logve şunu buldum:

Apr 27 06:55:55 Rho useradd[23872]: new group: name=guest-g20zoo, GID=999  
Apr 27 06:55:55 Rho useradd[23872]: new user: name=guest-g20zoo, UID=999, GID=999, home=/tmp/guest-g20zoo, shell=/bin/bash    
Apr 27 06:55:55 Rho su[23881]: Successful su for guest-g20zoo by root  
Apr 27 06:55:55 Rho su[23881]: + ??? root:guest-g20zoo  
Apr 27 06:55:55 Rho su[23881]: pam_unix(su:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd-logind[767]: New session c3 of user guest-g20zoo.  
Apr 27 06:55:56 Rho su[23881]: pam_unix(su:session): session closed for user guest-g20zoo  
Apr 27 06:55:56 Rho systemd-logind[767]: Removed session c3.  
Apr 27 06:55:56 Rho lightdm: pam_unix(lightdm-autologin:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session closed for user guest-g20zoo  
Apr 27 06:55:56 Rho systemd-logind[767]: New session c4 of user guest-g20zoo.  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:56:51 Rho pkexec: pam_unix(polkit-1:session): session opened for user root by (uid=1000)  
Apr 27 06:56:51 Rho pkexec: pam_systemd(polkit-1:session): Cannot create session: Already running in a session

Maalesef, çok fazla çıktı, ancak birkaç dakika içinde, günlük g'daki misafir g20zoo'nun yoğunluğu budur.

Ben de kontrol ettim /etc/passwd:

guest-G4J7WQ:x:120:132:Guest,,,:/tmp/guest-G4J7WQ:/bin/bash

Ve /etc/shadow:

root:!:16669:0:99999:7:::  
daemon:*:16547:0:99999:7:::  
.  
.  
.   
nobody:*:16547:0:99999:7:::  
rhobot:$6$encrypted-passwd-cut-for-length.:16918:0:99999:7:::  
guest-G4J7WQ:*:16689:0:99999:7:::  
.  
.

Bu çıktının durumum için ne anlama geldiğini tam olarak anlamıyorum. Are guest-g20zoove guest-G4J7WQaynı kullanıcı?

lastlog gösterileri:

guest-G4J7WQ      Never logged in

Ancak şunu lastgösterir:

guest-g20zoo      Wed Apr 27 06:55 - 20:33 (13:37)

Bu yüzden aynı kullanıcı değiller gibi görünüyor, ancak guest-g20zoo çıktılarında bulunamadı lastlog.

Ben kullanıcı konuk-g20zoo için değil (ler) o görünmüyor çünkü erişimi engellemek istiyorum /etc/shadowve ben giriş için bir şifre kullanmayan farz ediyorum, ama kullanımları olacak SSH passwd -l guest-g20zooişe?

Denedim systemctl stop sshdama bu hata mesajını aldım:

Failed to stop sshd.service: Unit sshd.service not loaded

Bu, sisteme uzaktan giriş yapmanın zaten devre dışı bırakıldığı anlamına mı geliyor ve bu nedenle yukarıdaki komut gereksiz mi?

Bu yeni kullanıcı hakkında daha fazla bilgi bulmaya çalıştım, hangi ip adreslerinden giriş yaptıkları gibi, ancak hiçbir şey bulamıyorum.

Bazı potansiyel olarak alakalı bilgiler:
Şu anda üniversitemin ağına bağlıyım ve WiFi ikonum iyi görünüyor, tüm ağ seçeneklerini görebiliyorum ve kendi başlarına ortaya çıkan tuhaf tarayıcılar yok. Bu, sistemime kimin giriş yaptığını evimdeki WiFi yönlendiricimin kapsama alanında olduğunu mu gösteriyor?

Koştum chkrootkitve her şey yolunda görünüyordu , ama aynı zamanda tüm çıktıları nasıl yorumlayacağımı da bilmiyorum. Burada ne yapacağımı bilemiyorum. Sadece bu kişinin (veya bu konuda başkasının) sistemime bir daha asla erişemeyeceğinden emin olmak istiyorum ve onlar tarafından oluşturulan gizli dosyaları bulmak ve kaldırmak istiyorum. Lütfen ve teşekkür ederim!

PS - WiFi ve Ağ bağlantısı devre dışıyken şifremi zaten değiştirdim ve önemli dosyalarımı şifreledim.


Yetki günlüğünde sshdsunucu adından sonra gelen giriş var mı? Eğer öyleyse, kesinlikle ssh erişimi yoktur .. kütüğün o kısmını temizlemezlerse ve garip olan diğer girişleri temizlemekten rahatsız olmadıkça.
Arronical


1
ve sonra tüm şifrelerinizi değiştirin
njzk2

@Arronical sshdSunucu adından sonra gelen giriş yok , ancak bu bilgiyi kaldırmanın ancak yine de kendi izlerini bırakmanın garip olduğunu kabul ediyorum. Birisinin sistemime eklediği izini kontrol etmenin başka bir yolu var mı?
Biberiye S

1
Bir çözümünüz varsa, lütfen bir cevap olarak gönderin ve kabul edildi olarak işaretleyin.
muru

Yanıtlar:


26

Birisi dizüstü bilgisayarınız üzerinde, siz odanızdan uzaktayken bir misafir oturumu açmışa benziyor. Yerinde olsam etrafta sorardım, bu bir arkadaş olabilir.

İçinde gördüğünüz /etc/passwdve /etc/shadowbana şüpheli olmayan misafir hesapları , birisi misafir oturumu açtığında sistem tarafından oluşturulur.

Apr 27 06:55:55 Rho su [23881]: Misafir g20zoo için root tarafından başarılı bir su

Bu hat root, normal olabilecek ancak araştırılması gereken konuk hesabına erişimi olduğu anlamına gelir . Ben ubuntu1404LTS üzerinde denedim ve bu davranışı görmüyorum. Bir misafir oturumu ile giriş yapmayı denemeli ve auth.logkonuk bir kullanıcı her oturum açtığında bu çizginin görünüp görünmediğini görmek için sizi aramalısınız .

Dizüstü bilgisayarınızı açtığınızda gördüğünüz tüm açılan krom pencereler. Konuk oturum masaüstünü görmeniz mümkün mü?


Bu, mantıklı, bilgili ve diz dışı bir cevaptır.
boru,

Dizüstü bilgisayarıma erişimi olan diğer tek kişi kocamdır, okulda veya halka açıkta asla gözetimsiz bırakmam. Ayrıca, lightdm.conf.dbir süre önce Konuk Oturumuna giriş izni vermemek için dosyayı değiştirdim . Misafir oturumu masaüstünü görüyordum galiba. Ancak, kapak kapandığında dizüstü bilgisayarımın artık askıda kalmadığını farkettim ve bu bir dokunmatik ekran. Öyleyse, ekranın alanları kapalıyken itilirse, masaüstümdeki pencerelerin (kromdaki sekmeler değil) açılması mümkün olabilir mi? Sadece burada ne olduğunu anlamaya çalışıyorum.
Rosemary S

1
Askıdan uyandıktan sonra açılan birden fazla pencere [ÇÖZÜLMİŞ]. Dizüstü bilgisayarım kapağı kapattığında artık askıda kalmıyor, dokunmatik ekran. Sırt çantamda dolaşıyor ve kedileri evde yürürken yakaladım. Teorimi test ettim, bu sorun nedeniyle pencereler açıldı. Konuk oturumunu masaüstünü göremiyordum.
Rosemary S

33

Sabit sürücüyü silin ve işletim sisteminizi sıfırdan yükleyin.

Her yetkisiz erişim durumunda, saldırganın kök ayrıcalıklarına sahip olma olasılığı vardır, bu yüzden bunun gerçekleştiğini varsaymak mantıklıdır. Bu durumda, auth.log, bunun gerçekten böyle olduğunu onaylıyor gibi görünüyor - bu siz değiştiren kullanıcı olmadığınız sürece :

Apr 27 06:55:55 Rho su [23881]: Misafir g20zoo için root tarafından başarılı bir su

Özellikle kök ayrıcalıklarıyla, sisteme önyükleme komut dosyalarını değiştirme veya önyükleme sırasında çalışan yeni komut dosyaları ve uygulamalar yükleme vb. Gibi, yeniden yükleme olmadan düzeltilmesi neredeyse imkansız yollarla sisteme bulaşmış olabilirler. Bunlar, yetkisiz ağ yazılımı çalıştırmak (örneğin bir botnet'in bir bölümünü oluşturmak için) veya sisteminizi arkada bırakma gibi şeyler yapabilir. Bu tür bir şeyi yeniden yüklemeden algılayıp onarmaya çalışmak en iyi ihtimalle dağınıktır ve sizi her şeyden kurtarmanız garanti edilmez.


6
Donanımın içine kötü amaçlı yazılım yüklerlerse (sabit sürücünün donanım yazılımını temizlemişler gibi) bile bu işe yaramaz.
John Dvorak

7
Alıntı yaptığınız bu günlük satırı, rootkullanıcının tersi olduğu anlamına gelir guest-g20zoo.
Dmitry Grigoryev

4
@JanDvorak Linux arka kapı olarak çalışan bir HDD bellenim örneğiniz var mı?
Dmitry Grigoryev

1
İşletim sisteminizin güvenilirliğinden hiç emin değilseniz ve bir şeyi kaçıracağınızdan korkuyorsanız, yalnızca verilerinizi yedekleyin ve işletim sisteminizi yeniden kurun, şahsen hdds değiştireceğim, ancak yalnızca bilgi alabilmek için kabul etmek zorunda kalacağım. eski işletim sistemi kapalı ve kim beni hack bulmak :)
GMasucci

9
@DmitryGrigoryev ancak eğer suonlar vasıtası olduğunu, kökünden başka bir hesaba olan kökü.
Léo Lam

3

Sadece "çoklu tarayıcı sekmeleri / pencereleri açık, Software Center açık, masaüstüne indirilen dosyaların" SSH aracılığıyla makinenize giriş yapan biriyle çok tutarlı olmadığını belirtmek istiyorum. SSH üzerinden giriş yapan bir saldırgan, masaüstünüzde gördüklerinizden tamamen farklı bir metin konsolu alır. Ayrıca kendi oturumlarının başında oturacakları için masaüstünüzden "git nasıl kurulur" google'a ihtiyaçları olmaz, değil mi? Git'i yüklemek isteseler bile (neden?), Git'i Ubuntu depolarında bulunduğundan, bir yükleyici indirmeleri gerekmeyecekti, Git veya Ubuntu hakkında bir şey bilen herkes bunu biliyor. Ve neden bash isteminin nasıl özelleştirileceğini google yapmak zorunda kaldılar?

Ayrıca "Tarayıcımda bir sekme var ... tarayıcımda aç. Kapattıktan sonra birkaç kez yeniden açıldığını" da açıkladım, aslında birden fazla aynı sekme açıldı, bu yüzden onları birer birer kapatmak zorunda kaldınız.

Burada söylemeye çalıştığım şey, faaliyet düzeninin "daktilo içeren bir maymuna" benzemesidir.

Ayrıca, SSH sunucusu yüklü bile olduğundan bahsetmediniz - varsayılan olarak yüklenmemiş.

Öyleyse, sizin bilginiz olmadan kimsenin dizüstü bilgisayarınıza fiziksel olarak erişemeyeceğinden eminseniz ve dizüstü bilgisayarınızın bir dokunmatik ekranına sahip olduğundan ve düzgün şekilde askıya alınmadığından ve sırt çantanızda biraz zaman geçirdikten sonra her şeyin basit bir şekilde olabileceğini düşünüyorum. "cep arama" durumu - arama önerileri ve otomatik düzeltme ile birlikte rastgele ekran dokunuşları, birden fazla pencere açtı ve google aramaları gerçekleştirdi, rastgele bağlantıları tıklayarak ve rastgele dosyaları indiriyor.

Kişisel bir anekdot olarak, zaman zaman birden fazla uygulama açmak, sistem ayarlarını değiştirmek, yarı uyumlu SMS mesajları göndermek ve rastgele youtube videoları izlemek de dahil olmak üzere cep telefonumla cebimde oluyor.


... ya da benim durumumda ... bir arkadaşımdan tüm metinleri silmek ...
andy256

2

Gittiğinizde dizüstü bilgisayarınıza uzaktan / fiziksel olarak erişmek isteyen arkadaşlarınız var mı? Değilse:

HDD'yi DBAN ile silin ve işletim sistemini sıfırdan yeniden yükleyin. İlk önce yedeklediğinizden emin olun.

Bir şey Ubuntu'nun içinde ciddi şekilde ele geçirilmiş olabilir. Yeniden yüklediğinizde:

Şifrele /home. HDD / dizüstü bilgisayarın kendisi fiziksel olarak çalınırsa, içindeki verilere erişemezler /home.

HDD'yi şifreleyin. Bu, insanların /bootgiriş yapmadan ödün vermelerini önler . Bir önyükleme zamanı şifresi de girmeniz gerekir (sanırım).

Güçlü bir şifre belirleyin. Birisi HDD şifresini çözerse, erişemez /homeveya giriş yapamaz .

WiFi'nizi şifreleyin. Birisi yönlendiricinin yakınına girmiş ve şifrelenmemiş Wifi'den faydalanmış ve dizüstü bilgisayarınıza ssh'd.

Konuk hesabını devre dışı bırak. Saldırgan, dizüstü bilgisayarınızı ssh'd etmiş, uzak bir bağlantı kurmuş, Konuk aracılığıyla giriş yapmış ve Konuk hesabını kökten yükseltmiş olabilir. Bu tehlikeli bir durum. Bu olursa, saldırgan bu ÇOK TEHLİKELİ komutunu çalıştırabilir :

rm -rf --no-preserve-root / 

Bu , HDD’deki bir LOT veriyi siler , çöker /homeve daha da kötüsü, Ubuntu’yu önyükleme yapamaz hale getirir . Sadece grubun kurtarılmasına atılacaksınız ve bundan kurtulamayacaksınız. Saldırgan ayrıca /homedizini tamamen imha edebilir . Ev ağınız varsa, saldırgan aynı ağdaki diğer tüm bilgisayarları da önyükleme yapamaz (Linux kullanıyorsa).

Umarım bu yardımcı olur. :)


1
Neden DBAN OP'nin varsa, DBAN'ın bir SSD'ye ciddi şekilde zarar vereceğinden bahsetmek yerine, bölüm tablosunu yeniden oluşturmak tamamen yeterli olmalıdır.
gronostaj

neden bir bilgisayar korsanı çalıştırmalı rm -rf /? tüm verilerinizi alacak. veriyi silmek hiç bir anlam ifade etmiyor.
LittleByBlue

Btw. ASLA çalıştırmazsanız rm -rf /, eski linux sürümleri (4.5 yaşından büyük) UEFI'yi korumaz ve bir kaç dosya kaldırırsanız, ona zarar verirsiniz /sys/firmware/efi/efivars/.
LittleByBlue

1

"Şüpheli" etkinlik şu şekilde açıklanmaktadır: dizüstü bilgisayar kapak kapandığında artık askıda kalmıyor, dizüstü bilgisayar bir dokunmatik ekran ve uygulanan basınca tepki veriyor (muhtemelen kedilerim). Verilen satırlar /var/log/auth.logve whokomutun çıktısı bir misafir oturumu giriş bilgileri ile tutarlıdır. Konuk oturumunu karşılama oturumundan devre dışı bırakırken, Unity DE'deki sağ üst köşedeki açılır menüden hala erişilebilir. Ergo, ben giriş yaparken misafir oturumu açılabilir.

"Uygulanan basınç" teorisini test ettim; Kapak kapalıyken camlar açılabilir ve açılabilir. Ayrıca yeni bir misafir oturumuna girdim. Şüpheli etkinlik olarak algıladığımın özdeş log satırları, /var/log/auth.logbunu yaptıktan sonra mevcuttu . Kullanıcıları değiştirdim, hesabıma geri döndüm ve whokomutu çalıştırdım - çıktı sisteme giriş yapmış bir misafir olduğunu belirtti.

Yukarı ok aşağı WiFi logosu standart WiFi logosuna geri döndü ve mevcut tüm bağlantılar görülebilir. Bu bizim ağımızda bir sorun oldu ve ilgisiz.


-1

Kablosuz kartı / çubuğu çıkarın ve izlere bakın. Günlüklerinizi kaydettirin, böylece askbuntu daha fazla yardımcı olabilir. Bundan sonra sürücülerinizi silin ve farklı bir dağıtım deneyin, saldırılarda bir kalıp olup olmadığını görmek için canlı bir cd deneyin.


3
Wifi kartı izlerine neden bakmak istesin ki?
Keith M,

4
Bu nedenle, neden wifi kartını hiç
Keith M

1
@KeithM hiç bir dizüstü bilgisayarın wifi kartını çektiniz mi? bu laptop bir daha asla enfekte olmayacak .... ;-) kartı çekmeden önce bir yedekleme yaptığınızdan emin olun ...
LittleByBlue
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.