Kişisel bilgisayarımdaki sistemime sızıldığından% 99,9 eminim. İlk önce nedenimi açıklamama izin verin ki durum netleşsin:
Şüpheli etkinlik ve sonraki eylemlerin kaba zaman çizelgesi:
4-26 23:00
Tüm programları bitirdim ve dizüstü bilgisayarımı kapattım.
4-27 12:00
Dizüstü bilgisayarımı yaklaşık 13 saat bekleme modunda kaldıktan sonra açtım. Aşağıdakileri içeren birden fazla pencere açıktı: İki krom penceresi, sistem ayarları, yazılım merkezi. Masaüstümde bir git yükleyici vardı (kontrol ettim, kurulmadı).
4-27 13:00
Chrome geçmişi e-posta adresime girişler ve başlatmadığım diğer arama geçmişini (4-27'de 01:00 - 03:00 arası) "yükleme git" dahil olmak üzere görüntüledi. Tarayıcımda "Dijital Bash isteminizi nasıl özelleştirirsiniz" sekmesi olan Digital Ocean adlı bir sekme vardı. Kapattıktan sonra birkaç kez yeniden açıldı. Chrome'daki güvenliği sıkılaştırdım.
WiFi bağlantım kesildi, ancak yeniden bağlandığımda standart sembol yerine bir yukarı ok simgesi vardı ve artık Wifi
Bağlantısı Düzenle altında açılan menüde artık bir ağ listesi yoktu. Dizüstü bilgisayarımın bağlandığını fark ettim. "GFiberSetup 1802" adlı bir ağa 4-27 tarihinde ~ 05: 30'da. Komşularım 1802 xx Drive'da sadece google fiber kurdu, sanırım bununla ilgili olduğunu düşünüyorum.
4-27 20:30 komut ikinci bir kullanıcı adında konuk-g20zoo benim sisteme giriş yapmış olduğunu ortaya çıkardı. Bu Ubuntu'yu çalıştıran özel dizüstü bilgisayarım, sistemimde başka biri olmamalı. Panik yaptım, çalıştırdım ve devre dışı bıraktım Ağ ve Wifiwho
sudo pkill -9 -u guest-g20zoo
Baktım /var/log/auth.log
ve şunu buldum:
Apr 27 06:55:55 Rho useradd[23872]: new group: name=guest-g20zoo, GID=999
Apr 27 06:55:55 Rho useradd[23872]: new user: name=guest-g20zoo, UID=999, GID=999, home=/tmp/guest-g20zoo, shell=/bin/bash
Apr 27 06:55:55 Rho su[23881]: Successful su for guest-g20zoo by root
Apr 27 06:55:55 Rho su[23881]: + ??? root:guest-g20zoo
Apr 27 06:55:55 Rho su[23881]: pam_unix(su:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd-logind[767]: New session c3 of user guest-g20zoo.
Apr 27 06:55:56 Rho su[23881]: pam_unix(su:session): session closed for user guest-g20zoo
Apr 27 06:55:56 Rho systemd-logind[767]: Removed session c3.
Apr 27 06:55:56 Rho lightdm: pam_unix(lightdm-autologin:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session closed for user guest-g20zoo
Apr 27 06:55:56 Rho systemd-logind[767]: New session c4 of user guest-g20zoo.
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:56:51 Rho pkexec: pam_unix(polkit-1:session): session opened for user root by (uid=1000)
Apr 27 06:56:51 Rho pkexec: pam_systemd(polkit-1:session): Cannot create session: Already running in a session
Maalesef, çok fazla çıktı, ancak birkaç dakika içinde, günlük g'daki misafir g20zoo'nun yoğunluğu budur.
Ben de kontrol ettim /etc/passwd
:
guest-G4J7WQ:x:120:132:Guest,,,:/tmp/guest-G4J7WQ:/bin/bash
Ve /etc/shadow
:
root:!:16669:0:99999:7:::
daemon:*:16547:0:99999:7:::
.
.
.
nobody:*:16547:0:99999:7:::
rhobot:$6$encrypted-passwd-cut-for-length.:16918:0:99999:7:::
guest-G4J7WQ:*:16689:0:99999:7:::
.
.
Bu çıktının durumum için ne anlama geldiğini tam olarak anlamıyorum. Are guest-g20zoo
ve guest-G4J7WQ
aynı kullanıcı?
lastlog
gösterileri:
guest-G4J7WQ Never logged in
Ancak şunu last
gösterir:
guest-g20zoo Wed Apr 27 06:55 - 20:33 (13:37)
Bu yüzden aynı kullanıcı değiller gibi görünüyor, ancak guest-g20zoo çıktılarında bulunamadı lastlog
.
Ben kullanıcı konuk-g20zoo için değil (ler) o görünmüyor çünkü erişimi engellemek istiyorum /etc/shadow
ve ben giriş için bir şifre kullanmayan farz ediyorum, ama kullanımları olacak SSH passwd -l guest-g20zoo
işe?
Denedim systemctl stop sshd
ama bu hata mesajını aldım:
Failed to stop sshd.service: Unit sshd.service not loaded
Bu, sisteme uzaktan giriş yapmanın zaten devre dışı bırakıldığı anlamına mı geliyor ve bu nedenle yukarıdaki komut gereksiz mi?
Bu yeni kullanıcı hakkında daha fazla bilgi bulmaya çalıştım, hangi ip adreslerinden giriş yaptıkları gibi, ancak hiçbir şey bulamıyorum.
Bazı potansiyel olarak alakalı bilgiler:
Şu anda üniversitemin ağına bağlıyım ve WiFi ikonum iyi görünüyor, tüm ağ seçeneklerini görebiliyorum ve kendi başlarına ortaya çıkan tuhaf tarayıcılar yok. Bu, sistemime kimin giriş yaptığını evimdeki WiFi yönlendiricimin kapsama alanında olduğunu mu gösteriyor?
Koştum chkrootkit
ve her şey yolunda görünüyordu , ama aynı zamanda tüm çıktıları nasıl yorumlayacağımı da bilmiyorum. Burada ne yapacağımı bilemiyorum. Sadece bu kişinin (veya bu konuda başkasının) sistemime bir daha asla erişemeyeceğinden emin olmak istiyorum ve onlar tarafından oluşturulan gizli dosyaları bulmak ve kaldırmak istiyorum. Lütfen ve teşekkür ederim!
PS - WiFi ve Ağ bağlantısı devre dışıyken şifremi zaten değiştirdim ve önemli dosyalarımı şifreledim.
sshd
Sunucu adından sonra gelen giriş yok , ancak bu bilgiyi kaldırmanın ancak yine de kendi izlerini bırakmanın garip olduğunu kabul ediyorum. Birisinin sistemime eklediği izini kontrol etmenin başka bir yolu var mı?
sshd
sunucu adından sonra gelen giriş var mı? Eğer öyleyse, kesinlikle ssh erişimi yoktur .. kütüğün o kısmını temizlemezlerse ve garip olan diğer girişleri temizlemekten rahatsız olmadıkça.