Tenho 99,9% de certeza de que meu sistema no meu computador pessoal foi invadido. Permita-me primeiro dar o meu raciocínio para que a situação fique clara:
Linha do tempo aproximada de atividade suspeita e ações subsequentes tomadas:
4-26 23:00
Eu terminei todos os programas e fechei meu laptop.
4-27 12:00
Eu abri meu laptop depois de ter estado no modo de suspensão por cerca de 13 horas. Várias janelas foram abertas, incluindo: Duas janelas cromadas, configurações do sistema, centro de software. Na minha área de trabalho havia um instalador git (eu verifiquei, não foi instalado).
4-27 13:00
O histórico do Chrome exibia logins para meu e-mail e outro histórico de pesquisa que eu não iniciei (entre 01:00 e 03:00 em 4-27), incluindo "install git". Havia uma aba, Digital Ocean "Como personalizar seu bash prompt" aberta no meu navegador. Reabriu várias vezes depois que eu a fechei. Eu reforcei a segurança no Chrome.
Desconectei-me do Wi-Fi, mas quando me reconectei, havia um símbolo de seta para cima e para baixo, em vez do símbolo padrão, e não havia mais uma lista de redes no menu suspenso para Wifi
Em 'Edit Connections', notei que meu laptop tinha se conectado a uma rede chamada "GFiberSetup 1802" em ~ 05: 30 em 4-27. Meus vizinhos em 1802 xx O Drive acabou de instalar o google fiber, então acredito que esteja relacionado.
4-27 20:30
O comando who
revelou que um segundo usuário chamado guest-g20zoo estava conectado ao meu sistema. Este é o meu laptop privado que roda o Ubuntu, não deve haver mais ninguém no meu sistema. Em pânico, eu corri sudo pkill -9 -u guest-g20zoo
e desativado Networking e Wifi
Eu procurei em /var/log/auth.log
e achei isto:
Apr 27 06:55:55 Rho useradd[23872]: new group: name=guest-g20zoo, GID=999
Apr 27 06:55:55 Rho useradd[23872]: new user: name=guest-g20zoo, UID=999, GID=999, home=/tmp/guest-g20zoo, shell=/bin/bash
Apr 27 06:55:55 Rho su[23881]: Successful su for guest-g20zoo by root
Apr 27 06:55:55 Rho su[23881]: + ??? root:guest-g20zoo
Apr 27 06:55:55 Rho su[23881]: pam_unix(su:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd-logind[767]: New session c3 of user guest-g20zoo.
Apr 27 06:55:56 Rho su[23881]: pam_unix(su:session): session closed for user guest-g20zoo
Apr 27 06:55:56 Rho systemd-logind[767]: Removed session c3.
Apr 27 06:55:56 Rho lightdm: pam_unix(lightdm-autologin:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session closed for user guest-g20zoo
Apr 27 06:55:56 Rho systemd-logind[767]: New session c4 of user guest-g20zoo.
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:56:51 Rho pkexec: pam_unix(polkit-1:session): session opened for user root by (uid=1000)
Apr 27 06:56:51 Rho pkexec: pam_systemd(polkit-1:session): Cannot create session: Already running in a session
Desculpe, há muito resultado, mas essa é a maior parte da atividade do guest-g20zoo no log, tudo isso em poucos minutos.
Também verifiquei /etc/passwd
:
guest-G4J7WQ:x:120:132:Guest,,,:/tmp/guest-G4J7WQ:/bin/bash
e /etc/shadow
:
root:!:16669:0:99999:7:::
daemon:*:16547:0:99999:7:::
.
.
.
nobody:*:16547:0:99999:7:::
rhobot:$encrypted-passwd-cut-for-length.:16918:0:99999:7:::
guest-G4J7WQ:*:16689:0:99999:7:::
.
.
Eu não entendo completamente o que essa saída significa para minha situação. São guest-g20zoo
e guest-G4J7WQ
o mesmo usuário?
lastlog
mostra:
guest-G4J7WQ Never logged in
No entanto, last
mostra:
guest-g20zoo Wed Apr 27 06:55 - 20:33 (13:37)
Portanto, parece que eles não são o mesmo usuário, mas o guest-g20zoo não foi encontrado na saída de lastlog
.
Gostaria de bloquear o acesso do usuário guest-g20zoo, mas como ele (a) não aparece em /etc/shadow
e suponho que não use uma senha para fazer login, mas usa ssh, passwd -l guest-g20zoo
trabalho?
Eu tentei systemctl stop sshd
, mas recebi esta mensagem de erro:
Failed to stop sshd.service: Unit sshd.service not loaded
Isso significa que o login remoto já estava desativado no meu sistema e, portanto, o comando acima é redundante?
Eu tentei encontrar mais informações sobre esse novo usuário, como o endereço IP do qual eles fizeram login, mas não consigo encontrar nada.
Algumas informações potencialmente relevantes:
Atualmente, estou conectado à rede da minha universidade e meu ícone de Wi-Fi parece bem, posso ver todas as minhas opções de rede e não há navegadores estranhos aparecendo por conta própria. Isso indica que quem está logando no meu sistema está dentro do alcance do meu roteador WiFi em minha casa?
Corri chkrootkit
e tudo pareceu bom, mas também não sei interpretar toda a saída. Eu realmente não sei o que fazer aqui. Eu só quero ter certeza absoluta de que essa pessoa (ou qualquer outra pessoa) nunca poderá acessar meu sistema novamente e eu quero encontrar e remover quaisquer arquivos ocultos criados por eles. Por favor e obrigado!
P.S. - Eu já mudei minha senha e criptografei meus arquivos importantes enquanto o WiFi e o Networking estavam desativados.