Computadora personal pirateada: ¿Cómo bloqueo a este usuario para que no vuelva a iniciar sesión? ¿Cómo puedo saber cómo inician sesión?

25

Estoy 99.9% seguro de que mi sistema en mi computadora personal ha sido infiltrado. Permítanme primero dar mi razonamiento para que la situación sea clara:

Cronología aproximada de actividad sospechosa y acciones posteriores tomadas:

4-26 23:00
Terminé todos los programas y cerré mi computadora portátil.

4-27 12:00
Abrí mi computadora portátil después de haber estado en modo de suspensión durante aproximadamente 13 horas. Se abrieron varias ventanas, incluidas: dos ventanas cromadas, configuración del sistema, centro de software. En mi escritorio había un instalador de git (lo comprobé, no se ha instalado).

4-27 13:00 El
historial de Chrome muestra los inicios de sesión en mi correo electrónico y otro historial de búsqueda que no inicié (entre la 01:00 y las 03:00 del 4-27), incluida la "instalación de git". Había una pestaña, Digital Ocean "Cómo personalizar su bash prompt" abierta en mi navegador. Se volvió a abrir varias veces después de que lo cerré. Apreté la seguridad en Chrome.

Me desconecté de WiFi, pero cuando volví a conectar había un símbolo de flecha hacia arriba y hacia abajo en lugar del símbolo estándar, y ya no había una lista de redes en el menú desplegable para Wifi
En 'Editar conexiones' noté que mi computadora portátil se había conectado a una red llamada "GFiberSetup 1802" a ~ 05: 30 en 4-27. Mis vecinos de 1802 xx Drive acababan de instalar Google Fiber, así que supongo que está relacionado.

4-27 20:30
El whocomando reveló que un segundo usuario llamado guest-g20zoo había iniciado sesión en mi sistema. Esta es mi computadora portátil privada que ejecuta Ubuntu, no debería haber nadie más en mi sistema. En pánico, corrí sudo pkill -9 -u guest-g20zooy deshabilité Redes y Wifi

Miré /var/log/auth.logy encontré esto:

Apr 27 06:55:55 Rho useradd[23872]: new group: name=guest-g20zoo, GID=999  
Apr 27 06:55:55 Rho useradd[23872]: new user: name=guest-g20zoo, UID=999, GID=999, home=/tmp/guest-g20zoo, shell=/bin/bash    
Apr 27 06:55:55 Rho su[23881]: Successful su for guest-g20zoo by root  
Apr 27 06:55:55 Rho su[23881]: + ??? root:guest-g20zoo  
Apr 27 06:55:55 Rho su[23881]: pam_unix(su:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd-logind[767]: New session c3 of user guest-g20zoo.  
Apr 27 06:55:56 Rho su[23881]: pam_unix(su:session): session closed for user guest-g20zoo  
Apr 27 06:55:56 Rho systemd-logind[767]: Removed session c3.  
Apr 27 06:55:56 Rho lightdm: pam_unix(lightdm-autologin:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session closed for user guest-g20zoo  
Apr 27 06:55:56 Rho systemd-logind[767]: New session c4 of user guest-g20zoo.  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:56:51 Rho pkexec: pam_unix(polkit-1:session): session opened for user root by (uid=1000)  
Apr 27 06:56:51 Rho pkexec: pam_systemd(polkit-1:session): Cannot create session: Already running in a session

Lo siento, es una gran cantidad de resultados, pero esa es la mayor parte de la actividad de guest-g20zoo en el registro, todo en un par de minutos.

También revisé /etc/passwd:

guest-G4J7WQ:x:120:132:Guest,,,:/tmp/guest-G4J7WQ:/bin/bash

Y /etc/shadow:

root:!:16669:0:99999:7:::  
daemon:*:16547:0:99999:7:::  
.  
.  
.   
nobody:*:16547:0:99999:7:::  
rhobot:$6$encrypted-passwd-cut-for-length.:16918:0:99999:7:::  
guest-G4J7WQ:*:16689:0:99999:7:::  
.  
.

No entiendo completamente lo que significa esta salida para mi situación. ¿Son guest-g20zooy guest-G4J7WQel mismo usuario?

lastlog muestra:

guest-G4J7WQ      Never logged in

Sin embargo, lastmuestra:

guest-g20zoo      Wed Apr 27 06:55 - 20:33 (13:37)

Por lo tanto, parece que no son el mismo usuario, pero guest-g20zoo no se encontraba en ninguna parte en la salida de lastlog.

Me gustaría bloquear el acceso para el usuario guest-g20zoo, pero dado que no aparece /etc/shadowy supongo que no usa una contraseña para iniciar sesión, pero usa ssh, ¿ passwd -l guest-g20zoofuncionará?

Lo intenté systemctl stop sshd, pero recibí este mensaje de error:

Failed to stop sshd.service: Unit sshd.service not loaded

¿Esto significa que el inicio de sesión remoto ya estaba desactivado en mi sistema y, por lo tanto, el comando anterior es redundante?

Intenté encontrar más información sobre este nuevo usuario, como desde qué dirección IP iniciaron sesión, pero parece que no puedo encontrar nada.

Alguna información potencialmente relevante:
actualmente estoy conectado a la red de mi universidad, y mi icono de WiFi se ve bien, puedo ver todas mis opciones de red, y no hay ningún navegador extraño que aparezca por sí solo. ¿Esto indica que quien inicia sesión en mi sistema está dentro del alcance de mi enrutador WiFi en mi casa?

Corrí chkrootkity todo parecía estar bien, pero tampoco sé cómo interpretar todo el resultado. Realmente no sé qué hacer aquí. Solo quiero estar absolutamente seguro de que esta persona (o cualquier otra persona) nunca más podrá acceder a mi sistema y quiero encontrar y eliminar cualquier archivo oculto creado por ellos. ¡Por favor y gracias!

PD: ya cambié mi contraseña y cifré mis archivos importantes mientras WiFi y redes estaban deshabilitados.

Romero s
fuente
¿Hay alguna entrada en el registro de autenticación que tenga sshddespués del nombre del servidor? Si no, entonces definitivamente no ha habido acceso ssh ... a menos que limpiaran esa parte del registro y no se molestaran en limpiar las otras entradas, lo que sería extraño.
Arronical
17
Destrozarlo desde la órbita !
Boris the Spider
1
y luego cambia todas tus contraseñas
njzk2
@Arronical No hay entradas que tengan sshddespués del nombre del servidor, pero estoy de acuerdo en que eliminar esa información pero dejar rastros de sí mismos es extraño. ¿Hay alguna otra forma de verificar si hay algún rastro que mi alguien ha enviado a mi sistema?
Rosemary S
1
Si tiene una solución, publíquela como respuesta y márquela como aceptada.
Muru

Respuestas:

26

Parece que alguien abrió una sesión de invitado en su computadora portátil mientras usted estaba lejos de su habitación. Si yo fuera tú, preguntaría, eso podría ser un amigo.

Las cuentas de invitados que ve /etc/passwdy /etc/shadowno son sospechosas para mí, son creadas por el sistema cuando alguien abre una sesión de invitado.

27 de abril 06:55:55 Rho su [23881]: Su exitoso para guest-g20zoo de raíz

Esta línea significa que roottiene acceso a la cuenta de invitado, lo que podría ser normal pero debería investigarse. Lo he probado en mi ubuntu1404LTS y no veo este comportamiento. Debería intentar iniciar sesión con una sesión de invitado y seleccionar su auth.logpara ver si esta línea aparece cada vez que un usuario invitado inicia sesión.

Todas las ventanas abiertas de Chrome, que has visto cuando abriste tu laptop. ¿Es posible que estuviera viendo el escritorio de la sesión de invitado?

daniel
fuente
Esta es la única respuesta sensata, informada y no arrogante.
tubería
La única otra persona que tiene acceso a mi computadora portátil es mi esposo, nunca la dejo sola en la escuela o en público. Además, modifiqué el lightdm.conf.darchivo para no permitir el inicio de sesión de Guest Session hace un tiempo. Creo que estaba viendo el escritorio de la sesión de invitado. Sin embargo, me di cuenta de que mi computadora portátil ya no se suspende cuando se cierra la tapa, y es una pantalla táctil. Entonces, ¿es posible que se abran ventanas en mi escritorio (no pestañas en Chrome) si se presionan áreas de la pantalla mientras estaba cerrada? Solo trato de descubrir qué es qué aquí.
Rosemary S
1
Se abren varias ventanas después de despertar de la suspensión [SOLUCIONADO]. Mi computadora portátil ya no se suspende al cerrar la tapa, es una pantalla táctil. Lo empujan en mi mochila, y atrapé a mis gatos caminando en casa. He probado mi teoría, se abrieron ventanas debido a este problema. No estaba viendo el escritorio de la sesión de invitado.
Rosemary S
33

Limpie el disco duro y vuelva a instalar su sistema operativo desde cero.

En cualquier caso de acceso no autorizado, existe la posibilidad de que el atacante pueda obtener privilegios de root, por lo que es sensato suponer que sucedió. En este caso, auth.log parece confirmar que este fue realmente el caso, a menos que haya sido usted quien cambió de usuario:

27 de abril 06:55:55 Rho su [23881]: Su exitoso para guest-g20zoo de raíz

Con los privilegios de root en particular, pueden haberse metido con el sistema de maneras que son prácticamente imposibles de solucionar sin una reinstalación, como modificando los scripts de arranque o instalando nuevos scripts y aplicaciones que se ejecutan en el arranque, etc. Esto podría hacer cosas como ejecutar software de red no autorizado (es decir, formar parte de una botnet) o dejar puertas traseras en su sistema. Intentar detectar y reparar este tipo de cosas sin una reinstalación es desordenado en el mejor de los casos, y no se garantiza que lo libere de todo.

thomasrutter
fuente
66
Ni siquiera esto funcionará si instalaron algún malware en el hardware, como si flashearon el firmware del disco duro.
John Dvorak
77
Esa línea de registro que está citando significa que el rootusuario cambió guest-g20zoo, no al revés.
Dmitry Grigoryev
44
@ JanDvorak ¿Tiene un ejemplo de firmware de HDD que actúe como puerta trasera de Linux?
Dmitry Grigoryev
1
Tendría que estar de acuerdo, si no está seguro acerca de la confiabilidad de su sistema operativo y teme que pueda perder algo, simplemente haga una copia de seguridad de sus datos y vuelva a instalar el sistema operativo, personalmente cambiaría los discos duros, pero solo para poder extraer información fuera del sistema operativo anterior y descubra quién me hackeó :)
GMasucci
99
@DmitryGrigoryev pero si pueden suhacerlo a otra cuenta desde la raíz, eso significa que son root.
Léo Lam
3

Solo quiero mencionar que "múltiples pestañas / ventanas del navegador abiertas, Centro de software abierto, archivos descargados al escritorio" no es muy consistente con que alguien inicie sesión en su máquina a través de SSH. Un atacante que inicie sesión a través de SSH obtendría una consola de texto completamente separada de lo que ve en su escritorio. Tampoco tendrían que buscar en Google "cómo instalar git" desde su sesión de escritorio porque estarían sentados frente a su propia computadora, ¿verdad? Incluso si quisieran instalar Git (¿por qué?), No tendrían que descargar un instalador porque Git está en los repositorios de Ubuntu, cualquiera que sepa algo sobre Git o Ubuntu lo sabe. ¿Y por qué tuvieron que buscar en Google cómo personalizar bash prompt?

También sospecho que "Había una pestaña ... abierta en mi navegador. Se volvió a abrir varias veces después de que la cerré", en realidad había varias pestañas idénticas abiertas, por lo que tenía que cerrarlas una por una.

Lo que estoy tratando de decir aquí es que el patrón de actividad se asemeja a un "mono con una máquina de escribir".

Tampoco mencionó que incluso tenía un servidor SSH instalado; no está instalado de manera predeterminada.

Entonces, si está absolutamente seguro de que nadie tuvo acceso físico a su computadora portátil sin su conocimiento, y su computadora portátil tiene una pantalla táctil, y no se suspende correctamente, y pasó algún tiempo en su mochila, entonces creo que todo puede ser simplemente un caso de "llamadas de bolsillo": toques de pantalla aleatorios combinados con sugerencias de búsqueda y corrección automática abrieron múltiples ventanas y realizaron búsquedas en Google, haciendo clic en enlaces aleatorios y descargando archivos aleatorios.

Como anécdota personal, sucede de vez en cuando con mi teléfono inteligente en el bolsillo, lo que incluye abrir múltiples aplicaciones, cambiar la configuración del sistema, enviar mensajes SMS semi coherentes y mirar videos aleatorios de YouTube.

Sergey
fuente
... o en mi caso ... borrando todos los textos de un amigo ...
andy256
2

¿Tienes amigos a los que les gusta acceder a tu computadora portátil de forma remota / física mientras estás fuera? Si no:

Limpie el HDD con DBAN y vuelva a instalar el sistema operativo desde cero. Asegúrese de hacer una copia de seguridad primero.

Es posible que algo se haya visto gravemente comprometido dentro de Ubuntu. Cuando reinstales:

Cifrar /home. Si alguna vez se roba físicamente la unidad de disco duro / computadora portátil, no pueden acceder a los datos que contienen /home.

Cifrar el disco duro. Esto evita que las personas se comprometan /bootsin iniciar sesión. También tendrá que ingresar una contraseña de inicio (creo).

Establece una contraseña segura. Si alguien descubre la contraseña del HDD, no puede acceder /homeni iniciar sesión.

Cifra tu WiFi. Es posible que alguien se haya acercado al enrutador y se haya aprovechado de Wifi sin encriptar y ssh'd en su computadora portátil.

Deshabilitar la cuenta de invitado. Es posible que el atacante haya ingresado a su computadora portátil, haya obtenido una conexión remota, iniciado sesión a través de Guest y haya elevado la cuenta de Guest a root. Esta es una situación peligrosa. Si esto sucediera, el atacante podría ejecutar este comando MUY PELIGROSO :

rm -rf --no-preserve-root / 

Esto borra un montón de datos en el disco duro, basuras /home, y lo que es peor, hojas Ubuntu completamente incapaz de arrancar incluso. Simplemente te lanzarán al rescate de larvas, y no podrás recuperarte de esto. El atacante también podría destruir completamente el /homedirectorio, y así sucesivamente. Si tiene una red doméstica, el atacante también podría no poder arrancar todas las otras computadoras en esa red (si ejecutan Linux).

Espero que esto ayude. :)

TheComputerGeek010101001
fuente
1
¿Por qué DBAN? La recreación de la tabla de particiones debería ser completamente suficiente, sin mencionar que DBAN dañaría severamente un SSD si OP tiene uno.
gronostaj
¿Por qué debería correr un hacker rm -rf /? él va a tomar todos sus datos. borrar datos no tiene ningún sentido.
LittleByBlue
por cierto. NUNCA lo ejecute rm -rf /podría bloquear su máquina completa, ya que las versiones antiguas de Linux (anteriores a 4.5) no protegen el UEFI y lo dañaría si está eliminando algunos archivos /sys/firmware/efi/efivars/.
LittleByBlue
1

La actividad "sospechosa" se explica por lo siguiente: mi computadora portátil ya no se suspende cuando se cierra la tapa, la computadora portátil es una pantalla táctil y reacciona a la presión aplicada (posiblemente mis gatos). Las líneas proporcionadas desde /var/log/auth.logy el resultado del whocomando son consistentes con un inicio de sesión de sesión de invitado. Si bien deshabilité el inicio de sesión de la sesión de invitado desde la ventana de bienvenida, aún se puede acceder desde el menú desplegable en la esquina superior derecha en Unity DE. Ergo, una sesión de invitado se puede abrir mientras estoy conectado.

He probado la teoría de la "presión aplicada"; las ventanas se pueden abrir y se abren mientras la tapa está cerrada También inicié sesión en una nueva sesión de invitado. Las líneas de registro idénticas a lo que percibí como actividad sospechosa estaban presentes /var/log/auth.logdespués de hacer esto. Cambié de usuario, volví a mi cuenta y ejecuté el whocomando: la salida indicaba que había un invitado conectado al sistema.

La flecha arriba-abajo del logotipo de WiFi ha vuelto al logotipo estándar de WiFi, y todas las conexiones disponibles son visibles. Este fue un problema con nuestra red y no está relacionado.

Romero s
fuente
-1

Saque la tarjeta / tarjeta inalámbrica y mire por encima de los rastros. Haga un registro de sus registros para que askbuntu pueda ayudarlo aún más. Después de eso, limpie sus unidades e intente una distribución diferente, pruebe un CD en vivo y déjelo en funcionamiento para ver si hay un patrón en los ataques.

Jim
fuente
3
¿Por qué querría mirar los rastros de la tarjeta wifi ...?
Keith M
44
Para el caso, ¿por qué sacaría su tarjeta wifi
Keith M
1
@KeithM ¿Alguna vez ha sacado la tarjeta wifi de una computadora portátil? este portátil nunca volverá a infectarse ... ;-) asegúrese de hacer una copia de seguridad antes de extraer la tarjeta ...
LittleByBlue