Estoy 99.9% seguro de que mi sistema en mi computadora personal ha sido infiltrado. Permítanme primero dar mi razonamiento para que la situación sea clara:
Cronología aproximada de actividad sospechosa y acciones posteriores tomadas:
4-26 23:00
Terminé todos los programas y cerré mi computadora portátil.
4-27 12:00
Abrí mi computadora portátil después de haber estado en modo de suspensión durante aproximadamente 13 horas. Se abrieron varias ventanas, incluidas: dos ventanas cromadas, configuración del sistema, centro de software. En mi escritorio había un instalador de git (lo comprobé, no se ha instalado).
4-27 13:00 El
historial de Chrome muestra los inicios de sesión en mi correo electrónico y otro historial de búsqueda que no inicié (entre la 01:00 y las 03:00 del 4-27), incluida la "instalación de git". Había una pestaña, Digital Ocean "Cómo personalizar su bash prompt" abierta en mi navegador. Se volvió a abrir varias veces después de que lo cerré. Apreté la seguridad en Chrome.
Me desconecté de WiFi, pero cuando volví a conectar había un símbolo de flecha hacia arriba y hacia abajo en lugar del símbolo estándar, y ya no había una lista de redes en el menú desplegable para Wifi
En 'Editar conexiones' noté que mi computadora portátil se había conectado a una red llamada "GFiberSetup 1802" a ~ 05: 30 en 4-27. Mis vecinos de 1802 xx Drive acababan de instalar Google Fiber, así que supongo que está relacionado.
4-27 20:30
El who
comando reveló que un segundo usuario llamado guest-g20zoo había iniciado sesión en mi sistema. Esta es mi computadora portátil privada que ejecuta Ubuntu, no debería haber nadie más en mi sistema. En pánico, corrí sudo pkill -9 -u guest-g20zoo
y deshabilité Redes y Wifi
Miré /var/log/auth.log
y encontré esto:
Apr 27 06:55:55 Rho useradd[23872]: new group: name=guest-g20zoo, GID=999
Apr 27 06:55:55 Rho useradd[23872]: new user: name=guest-g20zoo, UID=999, GID=999, home=/tmp/guest-g20zoo, shell=/bin/bash
Apr 27 06:55:55 Rho su[23881]: Successful su for guest-g20zoo by root
Apr 27 06:55:55 Rho su[23881]: + ??? root:guest-g20zoo
Apr 27 06:55:55 Rho su[23881]: pam_unix(su:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd-logind[767]: New session c3 of user guest-g20zoo.
Apr 27 06:55:56 Rho su[23881]: pam_unix(su:session): session closed for user guest-g20zoo
Apr 27 06:55:56 Rho systemd-logind[767]: Removed session c3.
Apr 27 06:55:56 Rho lightdm: pam_unix(lightdm-autologin:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session closed for user guest-g20zoo
Apr 27 06:55:56 Rho systemd-logind[767]: New session c4 of user guest-g20zoo.
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:56:51 Rho pkexec: pam_unix(polkit-1:session): session opened for user root by (uid=1000)
Apr 27 06:56:51 Rho pkexec: pam_systemd(polkit-1:session): Cannot create session: Already running in a session
Lo siento, es una gran cantidad de resultados, pero esa es la mayor parte de la actividad de guest-g20zoo en el registro, todo en un par de minutos.
También revisé /etc/passwd
:
guest-G4J7WQ:x:120:132:Guest,,,:/tmp/guest-G4J7WQ:/bin/bash
Y /etc/shadow
:
root:!:16669:0:99999:7:::
daemon:*:16547:0:99999:7:::
.
.
.
nobody:*:16547:0:99999:7:::
rhobot:$6$encrypted-passwd-cut-for-length.:16918:0:99999:7:::
guest-G4J7WQ:*:16689:0:99999:7:::
.
.
No entiendo completamente lo que significa esta salida para mi situación. ¿Son guest-g20zoo
y guest-G4J7WQ
el mismo usuario?
lastlog
muestra:
guest-G4J7WQ Never logged in
Sin embargo, last
muestra:
guest-g20zoo Wed Apr 27 06:55 - 20:33 (13:37)
Por lo tanto, parece que no son el mismo usuario, pero guest-g20zoo no se encontraba en ninguna parte en la salida de lastlog
.
Me gustaría bloquear el acceso para el usuario guest-g20zoo, pero dado que no aparece /etc/shadow
y supongo que no usa una contraseña para iniciar sesión, pero usa ssh, ¿ passwd -l guest-g20zoo
funcionará?
Lo intenté systemctl stop sshd
, pero recibí este mensaje de error:
Failed to stop sshd.service: Unit sshd.service not loaded
¿Esto significa que el inicio de sesión remoto ya estaba desactivado en mi sistema y, por lo tanto, el comando anterior es redundante?
Intenté encontrar más información sobre este nuevo usuario, como desde qué dirección IP iniciaron sesión, pero parece que no puedo encontrar nada.
Alguna información potencialmente relevante:
actualmente estoy conectado a la red de mi universidad, y mi icono de WiFi se ve bien, puedo ver todas mis opciones de red, y no hay ningún navegador extraño que aparezca por sí solo. ¿Esto indica que quien inicia sesión en mi sistema está dentro del alcance de mi enrutador WiFi en mi casa?
Corrí chkrootkit
y todo parecía estar bien, pero tampoco sé cómo interpretar todo el resultado. Realmente no sé qué hacer aquí. Solo quiero estar absolutamente seguro de que esta persona (o cualquier otra persona) nunca más podrá acceder a mi sistema y quiero encontrar y eliminar cualquier archivo oculto creado por ellos. ¡Por favor y gracias!
PD: ya cambié mi contraseña y cifré mis archivos importantes mientras WiFi y redes estaban deshabilitados.
fuente
sshd
después del nombre del servidor? Si no, entonces definitivamente no ha habido acceso ssh ... a menos que limpiaran esa parte del registro y no se molestaran en limpiar las otras entradas, lo que sería extraño.sshd
después del nombre del servidor, pero estoy de acuerdo en que eliminar esa información pero dejar rastros de sí mismos es extraño. ¿Hay alguna otra forma de verificar si hay algún rastro que mi alguien ha enviado a mi sistema?Respuestas:
Parece que alguien abrió una sesión de invitado en su computadora portátil mientras usted estaba lejos de su habitación. Si yo fuera tú, preguntaría, eso podría ser un amigo.
Las cuentas de invitados que ve
/etc/passwd
y/etc/shadow
no son sospechosas para mí, son creadas por el sistema cuando alguien abre una sesión de invitado.Esta línea significa que
root
tiene acceso a la cuenta de invitado, lo que podría ser normal pero debería investigarse. Lo he probado en mi ubuntu1404LTS y no veo este comportamiento. Debería intentar iniciar sesión con una sesión de invitado y seleccionar suauth.log
para ver si esta línea aparece cada vez que un usuario invitado inicia sesión.Todas las ventanas abiertas de Chrome, que has visto cuando abriste tu laptop. ¿Es posible que estuviera viendo el escritorio de la sesión de invitado?
fuente
lightdm.conf.d
archivo para no permitir el inicio de sesión de Guest Session hace un tiempo. Creo que estaba viendo el escritorio de la sesión de invitado. Sin embargo, me di cuenta de que mi computadora portátil ya no se suspende cuando se cierra la tapa, y es una pantalla táctil. Entonces, ¿es posible que se abran ventanas en mi escritorio (no pestañas en Chrome) si se presionan áreas de la pantalla mientras estaba cerrada? Solo trato de descubrir qué es qué aquí.Limpie el disco duro y vuelva a instalar su sistema operativo desde cero.
En cualquier caso de acceso no autorizado, existe la posibilidad de que el atacante pueda obtener privilegios de root, por lo que es sensato suponer que sucedió. En este caso, auth.log parece confirmar que este fue realmente el caso, a menos que haya sido usted quien cambió de usuario:
Con los privilegios de root en particular, pueden haberse metido con el sistema de maneras que son prácticamente imposibles de solucionar sin una reinstalación, como modificando los scripts de arranque o instalando nuevos scripts y aplicaciones que se ejecutan en el arranque, etc. Esto podría hacer cosas como ejecutar software de red no autorizado (es decir, formar parte de una botnet) o dejar puertas traseras en su sistema. Intentar detectar y reparar este tipo de cosas sin una reinstalación es desordenado en el mejor de los casos, y no se garantiza que lo libere de todo.
fuente
root
usuario cambióguest-g20zoo
, no al revés.su
hacerlo a otra cuenta desde la raíz, eso significa que son root.Solo quiero mencionar que "múltiples pestañas / ventanas del navegador abiertas, Centro de software abierto, archivos descargados al escritorio" no es muy consistente con que alguien inicie sesión en su máquina a través de SSH. Un atacante que inicie sesión a través de SSH obtendría una consola de texto completamente separada de lo que ve en su escritorio. Tampoco tendrían que buscar en Google "cómo instalar git" desde su sesión de escritorio porque estarían sentados frente a su propia computadora, ¿verdad? Incluso si quisieran instalar Git (¿por qué?), No tendrían que descargar un instalador porque Git está en los repositorios de Ubuntu, cualquiera que sepa algo sobre Git o Ubuntu lo sabe. ¿Y por qué tuvieron que buscar en Google cómo personalizar bash prompt?
También sospecho que "Había una pestaña ... abierta en mi navegador. Se volvió a abrir varias veces después de que la cerré", en realidad había varias pestañas idénticas abiertas, por lo que tenía que cerrarlas una por una.
Lo que estoy tratando de decir aquí es que el patrón de actividad se asemeja a un "mono con una máquina de escribir".
Tampoco mencionó que incluso tenía un servidor SSH instalado; no está instalado de manera predeterminada.
Entonces, si está absolutamente seguro de que nadie tuvo acceso físico a su computadora portátil sin su conocimiento, y su computadora portátil tiene una pantalla táctil, y no se suspende correctamente, y pasó algún tiempo en su mochila, entonces creo que todo puede ser simplemente un caso de "llamadas de bolsillo": toques de pantalla aleatorios combinados con sugerencias de búsqueda y corrección automática abrieron múltiples ventanas y realizaron búsquedas en Google, haciendo clic en enlaces aleatorios y descargando archivos aleatorios.
Como anécdota personal, sucede de vez en cuando con mi teléfono inteligente en el bolsillo, lo que incluye abrir múltiples aplicaciones, cambiar la configuración del sistema, enviar mensajes SMS semi coherentes y mirar videos aleatorios de YouTube.
fuente
¿Tienes amigos a los que les gusta acceder a tu computadora portátil de forma remota / física mientras estás fuera? Si no:
Limpie el HDD con DBAN y vuelva a instalar el sistema operativo desde cero. Asegúrese de hacer una copia de seguridad primero.
Es posible que algo se haya visto gravemente comprometido dentro de Ubuntu. Cuando reinstales:
Cifrar
/home
. Si alguna vez se roba físicamente la unidad de disco duro / computadora portátil, no pueden acceder a los datos que contienen/home
.Cifrar el disco duro. Esto evita que las personas se comprometan
/boot
sin iniciar sesión. También tendrá que ingresar una contraseña de inicio (creo).Establece una contraseña segura. Si alguien descubre la contraseña del HDD, no puede acceder
/home
ni iniciar sesión.Cifra tu WiFi. Es posible que alguien se haya acercado al enrutador y se haya aprovechado de Wifi sin encriptar y ssh'd en su computadora portátil.
Deshabilitar la cuenta de invitado. Es posible que el atacante haya ingresado a su computadora portátil, haya obtenido una conexión remota, iniciado sesión a través de Guest y haya elevado la cuenta de Guest a root. Esta es una situación peligrosa. Si esto sucediera, el atacante podría ejecutar este comando MUY PELIGROSO :
Esto borra un montón de datos en el disco duro, basuras
/home
, y lo que es peor, hojas Ubuntu completamente incapaz de arrancar incluso. Simplemente te lanzarán al rescate de larvas, y no podrás recuperarte de esto. El atacante también podría destruir completamente el/home
directorio, y así sucesivamente. Si tiene una red doméstica, el atacante también podría no poder arrancar todas las otras computadoras en esa red (si ejecutan Linux).Espero que esto ayude. :)
fuente
rm -rf /
? él va a tomar todos sus datos. borrar datos no tiene ningún sentido.rm -rf /
podría bloquear su máquina completa, ya que las versiones antiguas de Linux (anteriores a 4.5) no protegen el UEFI y lo dañaría si está eliminando algunos archivos/sys/firmware/efi/efivars/
.La actividad "sospechosa" se explica por lo siguiente: mi computadora portátil ya no se suspende cuando se cierra la tapa, la computadora portátil es una pantalla táctil y reacciona a la presión aplicada (posiblemente mis gatos). Las líneas proporcionadas desde
/var/log/auth.log
y el resultado delwho
comando son consistentes con un inicio de sesión de sesión de invitado. Si bien deshabilité el inicio de sesión de la sesión de invitado desde la ventana de bienvenida, aún se puede acceder desde el menú desplegable en la esquina superior derecha en Unity DE. Ergo, una sesión de invitado se puede abrir mientras estoy conectado.He probado la teoría de la "presión aplicada"; las ventanas se pueden abrir y se abren mientras la tapa está cerrada También inicié sesión en una nueva sesión de invitado. Las líneas de registro idénticas a lo que percibí como actividad sospechosa estaban presentes
/var/log/auth.log
después de hacer esto. Cambié de usuario, volví a mi cuenta y ejecuté elwho
comando: la salida indicaba que había un invitado conectado al sistema.La flecha arriba-abajo del logotipo de WiFi ha vuelto al logotipo estándar de WiFi, y todas las conexiones disponibles son visibles. Este fue un problema con nuestra red y no está relacionado.
fuente
Saque la tarjeta / tarjeta inalámbrica y mire por encima de los rastros. Haga un registro de sus registros para que askbuntu pueda ayudarlo aún más. Después de eso, limpie sus unidades e intente una distribución diferente, pruebe un CD en vivo y déjelo en funcionamiento para ver si hay un patrón en los ataques.
fuente