Computador pessoal hackeado: Como faço para impedir que este usuário faça o login novamente? Como faço para descobrir como eles estão fazendo login?

Navegue suas respostas
26

Tenho 99,9% de certeza de que meu sistema no meu computador pessoal foi invadido. Permita-me primeiro dar o meu raciocínio para que a situação fique clara:

Linha do tempo aproximada de atividade suspeita e ações subsequentes tomadas:

4-26 23:00
Eu terminei todos os programas e fechei meu laptop.

4-27 12:00
Eu abri meu laptop depois de ter estado no modo de suspensão por cerca de 13 horas. Várias janelas foram abertas, incluindo: Duas janelas cromadas, configurações do sistema, centro de software. Na minha área de trabalho havia um instalador git (eu verifiquei, não foi instalado).

4-27 13:00
O histórico do Chrome exibia logins para meu e-mail e outro histórico de pesquisa que eu não iniciei (entre 01:00 e 03:00 em 4-27), incluindo "install git". Havia uma aba, Digital Ocean "Como personalizar seu bash prompt" aberta no meu navegador. Reabriu várias vezes depois que eu a fechei. Eu reforcei a segurança no Chrome.

Desconectei-me do Wi-Fi, mas quando me reconectei, havia um símbolo de seta para cima e para baixo, em vez do símbolo padrão, e não havia mais uma lista de redes no menu suspenso para Wifi
Em 'Edit Connections', notei que meu laptop tinha se conectado a uma rede chamada "GFiberSetup 1802" em ~ 05: 30 em 4-27. Meus vizinhos em 1802 xx O Drive acabou de instalar o google fiber, então acredito que esteja relacionado.

4-27 20:30
O comando who revelou que um segundo usuário chamado guest-g20zoo estava conectado ao meu sistema. Este é o meu laptop privado que roda o Ubuntu, não deve haver mais ninguém no meu sistema. Em pânico, eu corri sudo pkill -9 -u guest-g20zoo e desativado Networking e Wifi

Eu procurei em /var/log/auth.log e achei isto: 

Apr 27 06:55:55 Rho useradd[23872]: new group: name=guest-g20zoo, GID=999  
Apr 27 06:55:55 Rho useradd[23872]: new user: name=guest-g20zoo, UID=999, GID=999, home=/tmp/guest-g20zoo, shell=/bin/bash    
Apr 27 06:55:55 Rho su[23881]: Successful su for guest-g20zoo by root  
Apr 27 06:55:55 Rho su[23881]: + ??? root:guest-g20zoo  
Apr 27 06:55:55 Rho su[23881]: pam_unix(su:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd-logind[767]: New session c3 of user guest-g20zoo.  
Apr 27 06:55:56 Rho su[23881]: pam_unix(su:session): session closed for user guest-g20zoo  
Apr 27 06:55:56 Rho systemd-logind[767]: Removed session c3.  
Apr 27 06:55:56 Rho lightdm: pam_unix(lightdm-autologin:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session closed for user guest-g20zoo  
Apr 27 06:55:56 Rho systemd-logind[767]: New session c4 of user guest-g20zoo.  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:56:51 Rho pkexec: pam_unix(polkit-1:session): session opened for user root by (uid=1000)  
Apr 27 06:56:51 Rho pkexec: pam_systemd(polkit-1:session): Cannot create session: Already running in a session

Desculpe, há muito resultado, mas essa é a maior parte da atividade do guest-g20zoo no log, tudo isso em poucos minutos.

Também verifiquei /etc/passwd : 

guest-G4J7WQ:x:120:132:Guest,,,:/tmp/guest-G4J7WQ:/bin/bash

e /etc/shadow : 

root:!:16669:0:99999:7:::  
daemon:*:16547:0:99999:7:::  
.  
.  
.   
nobody:*:16547:0:99999:7:::  
rhobot:$encrypted-passwd-cut-for-length.:16918:0:99999:7:::  
guest-G4J7WQ:*:16689:0:99999:7:::  
.  
.

Eu não entendo completamente o que essa saída significa para minha situação. São guest-g20zoo e guest-G4J7WQ o mesmo usuário?

lastlog mostra: 

guest-G4J7WQ      Never logged in

No entanto, last mostra: 

guest-g20zoo      Wed Apr 27 06:55 - 20:33 (13:37)

Portanto, parece que eles não são o mesmo usuário, mas o guest-g20zoo não foi encontrado na saída de lastlog .

Gostaria de bloquear o acesso do usuário guest-g20zoo, mas como ele (a) não aparece em /etc/shadow e suponho que não use uma senha para fazer login, mas usa ssh, passwd -l guest-g20zoo trabalho?

Eu tentei systemctl stop sshd , mas recebi esta mensagem de erro: 

Failed to stop sshd.service: Unit sshd.service not loaded

Isso significa que o login remoto já estava desativado no meu sistema e, portanto, o comando acima é redundante?

Eu tentei encontrar mais informações sobre esse novo usuário, como o endereço IP do qual eles fizeram login, mas não consigo encontrar nada.

Algumas informações potencialmente relevantes:
Atualmente, estou conectado à rede da minha universidade e meu ícone de Wi-Fi parece bem, posso ver todas as minhas opções de rede e não há navegadores estranhos aparecendo por conta própria. Isso indica que quem está logando no meu sistema está dentro do alcance do meu roteador WiFi em minha casa?

Corri chkrootkit e tudo pareceu bom, mas também não sei interpretar toda a saída. Eu realmente não sei o que fazer aqui. Eu só quero ter certeza absoluta de que essa pessoa (ou qualquer outra pessoa) nunca poderá acessar meu sistema novamente e eu quero encontrar e remover quaisquer arquivos ocultos criados por eles. Por favor e obrigado!

P.S. - Eu já mudei minha senha e criptografei meus arquivos importantes enquanto o WiFi e o Networking estavam desativados.

    
por Rosemary S 29.04.2016 / 00:57

6 respostas

26

Parece que alguém abriu uma sessão de convidado no seu laptop enquanto você estava longe do seu quarto. Se eu fosse você, eu perguntaria por aí, isso pode ser um amigo.

As contas de convidado que você vê em /etc/passwd e /etc/shadow não são suspeitas para mim, elas são criadas pelo sistema quando alguém abre uma sessão de convidado.

  

27 de abril 06:55:55 Rho su [23881]: su bem sucedida para guest-g20zoo por raiz

Esta linha significa que root tem acesso à conta de convidado, o que pode ser normal, mas deve ser investigado. Eu tentei no meu ubuntu1404LTS e não vejo esse comportamento. Você deve tentar fazer login com uma sessão de convidado e clicar em auth.log para ver se essa linha aparece sempre que um usuário convidado faz login.

Todas as janelas abertas do Chrome, que você viu quando abriu o seu laptop. É possível que você estivesse vendo a área de trabalho da sessão de convidados?

    
por daniel 29.04.2016 / 08:33
33

Limpe o disco rígido e reinstale o sistema operacional do zero.

Em qualquer caso de acesso não autorizado, existe a possibilidade de o atacante conseguir privilégios de root, por isso é sensato assumir que isso aconteceu. Neste caso, o auth.log parece confirmar que este era realmente o caso - a menos que este fosse você que trocou de usuário:

  

27 de abril 06:55:55 Rho su [23881]: su bem sucedida para guest-g20zoo por raiz

Com privilégios de root em particular, eles podem ter mexido com o sistema de maneiras praticamente impossíveis de corrigir sem reinstalar, como modificar scripts de inicialização ou instalar novos scripts e aplicativos que são executados na inicialização, e assim por diante. Isso pode fazer coisas como executar um software de rede não autorizado (por exemplo, fazer parte de uma botnet) ou deixar backdoors em seu sistema. Tentar detectar e consertar esse tipo de coisa sem reinstalá-la é, na melhor das hipóteses, confuso, e não é garantido que você se livre de tudo.

    
por thomasrutter 29.04.2016 / 02:47
2

Gostaria de mencionar que "várias guias / janelas do navegador abertas, o Centro de Software aberto, arquivos baixados para a área de trabalho" não são muito consistentes com alguém que faz login em sua máquina via SSH. Um invasor de log via SSH teria um console de texto que é completamente separado do que você vê na sua área de trabalho. Eles também não precisariam procurar no Google "como instalar o git" da sua sessão de desktop, porque eles estariam sentados em frente ao seu próprio computador, certo? Mesmo se eles quisessem instalar o Git (por quê?), Eles não precisariam baixar um instalador porque o Git está nos repositórios do Ubuntu, qualquer um que saiba alguma coisa sobre o Git ou o Ubuntu sabe disso. E por que eles tiveram que procurar no google como customizar o bash?

Eu também suspeito que "havia uma aba ... aberta no meu navegador. Ela reabriu várias vezes depois que eu a fechei" era na verdade várias abas idênticas abertas, então você tinha que fechá-las uma a uma.

O que estou tentando dizer aqui é que o padrão de atividade se assemelha a um "macaco com uma máquina de escrever".

Você também não mencionou que você tinha o servidor SSH instalado - ele não está instalado por padrão.

Então, se você tem certeza absoluta de que ninguém tinha acesso físico ao seu laptop sem o seu conhecimento, e seu laptop tem uma tela sensível ao toque, ele não é suspenso corretamente e passou algum tempo no seu computador. mochila, então eu acho que tudo pode ser simplesmente um caso de "pocket call" - toques de tela aleatórios combinados com sugestões de pesquisa e auto-correção abriram várias janelas e realizaram buscas no google, clicando em links aleatórios e baixando arquivos aleatórios.

Como uma anedota pessoal - acontece de tempos em tempos com meu smartphone no bolso, incluindo a abertura de vários aplicativos, a alteração das configurações do sistema, o envio de mensagens SMS semi-coerentes e a visualização de vídeos aleatórios do youtube.

    
O
por Sergey 04.05.2016 / 00:54
1

Você tem algum amigo que gosta de acessar seu laptop remotamente / fisicamente enquanto está fora? Se não:

Limpe o HDD com o DBAN e reinstale o sistema operacional do zero. Certifique-se de fazer o backup primeiro.

Algo pode ter sido gravemente comprometido no próprio Ubuntu. Quando você reinstalar:

Criptografar /home . Se o HDD / laptop em si for fisicamente roubado, eles não poderão obter acesso aos dados em /home .

Criptografe o disco rígido. Isso evita que as pessoas comprometam /boot sem fazer login. Você também precisará inserir uma senha de inicialização (eu acho).

Defina uma senha strong. Se alguém descobrir a senha do disco rígido, ele não poderá acessar /home ou login.

Criptografe seu Wi-Fi. Alguém pode ter entrado na proximidade do roteador e aproveitado Wi-Fi e ssh'd não criptografados em seu laptop.

Desativar a conta do convidado. O invasor pode ter ssh'd em seu laptop, obtido uma conexão remota, conectado via Convidado e elevado a conta Convidado para raiz. Essa é uma situação perigosa. Se isso acontecer, o invasor poderá executar o comando MUITO PERIGOSO : 

rm -rf --no-preserve-root /

Isso apaga MUITO dados no HDD, trashes /home e, pior ainda, deixa o Ubuntu completamente incapaz de inicializar. Você só será jogado no resgate, e você não será capaz de se recuperar disso. O invasor também pode destruir completamente o diretório /home e assim por diante. Se você tiver uma rede doméstica, o invasor também poderá fazer com que todos os outros computadores nessa rede não sejam inicializados (se eles executarem o Linux).

Espero que isso ajude. :)

    
por TheComputerGeek010101001 29.04.2016 / 13:09
0

A atividade "suspeita" é explicada pelo seguinte: meu laptop não suspende mais quando a tampa está fechada, o laptop é uma tela sensível ao toque e reage à pressão aplicada (possivelmente aos meus gatos). As linhas fornecidas de /var/log/auth.log e a saída do comando who são consistentes com um login de sessão de convidado. Embora eu tenha desabilitado o login da sessão de convidado da tela de boas-vindas, ainda é possível acessá-lo no menu suspenso no canto superior direito do Unity DE. Ergo, uma sessão de convidado pode ser aberta enquanto eu estiver logado.

Eu testei a teoria da "pressão aplicada"; as janelas podem abrir enquanto a tampa está fechada. Eu também entrei em uma nova sessão de convidado. Linhas de log idênticas ao que eu percebi como atividade suspeita estavam presentes em /var/log/auth.log depois que eu fiz isso. Troquei de usuários, voltei para minha conta e executei o comando who - a saída indicou que havia um convidado logado no sistema.

O logotipo Wi-Fi de seta para baixo foi revertido para o logotipo Wi-Fi padrão e todas as conexões disponíveis estão visíveis. Este foi um problema com a nossa rede e não está relacionado.

    
por Rosemary S 04.05.2016 / 11:44
-2

Puxe o cartão / bastão sem fio e olhe os rastros. Faça um registro dos seus registros para que o askbuntu possa ajudar ainda mais. Depois disso, limpe suas unidades e tente uma distro diferente, tente um cd ao vivo para ver se há um padrão nos ataques.

    
por Jim 29.04.2016 / 18:53

Tags

Como você muda o shell padrão para TODOS OS USUÁRIOS para bash? Por que 'ls ls.out' faz com que 'ls.out' seja incluído na lista de nomes?