我确定99.9%的个人计算机上的系统已被入侵。请允许我先说明一下,这样情况会很清楚:
可疑活动的大致时间表以及随后采取的措施:
4-26 23:00
我结束了所有程序并关闭了笔记本电脑。
4-27 12:00
笔记本电脑进入暂停模式约13个小时后,我打开了笔记本电脑。打开了多个窗口,包括:两个chrome窗口,系统设置,软件中心。在我的桌面上有一个git安装程序(我检查过,尚未安装)。
4-27 13:00
Chrome历史记录显示了登录到我的电子邮件的登录信息以及我未初始化的其他搜索历史记录(4-27的01:00到03:00之间),包括“安装git”。在浏览器中打开了一个标签页,“ Digital Ocean”“如何自定义bash提示”。我关闭它后,它又重新打开了好几次。我加强了Chrome的安全性。
我断开了与WiFi的连接,但是当我重新连接时,出现了一个向上的箭头符号,而不是标准的符号,并且
在“编辑连接”下,Wifi的下拉菜单中不再有网络列表,我注意到我的笔记本电脑已连接在4-27的〜05:30连接到名为“ GFiberSetup 1802”的网络。我在1802 xx Drive的邻居刚刚安装了谷歌光纤,所以我想这是相关的。
4-27 20:30
该who
命令显示第二个名为guest-g20zoo的用户已登录我的系统。这是我运行Ubuntu的私人笔记本电脑,我的系统上不应有其他人。恐慌,我跑步sudo pkill -9 -u guest-g20zoo
并禁用了网络和Wifi
我看了看/var/log/auth.log
,发现:
Apr 27 06:55:55 Rho useradd[23872]: new group: name=guest-g20zoo, GID=999
Apr 27 06:55:55 Rho useradd[23872]: new user: name=guest-g20zoo, UID=999, GID=999, home=/tmp/guest-g20zoo, shell=/bin/bash
Apr 27 06:55:55 Rho su[23881]: Successful su for guest-g20zoo by root
Apr 27 06:55:55 Rho su[23881]: + ??? root:guest-g20zoo
Apr 27 06:55:55 Rho su[23881]: pam_unix(su:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd-logind[767]: New session c3 of user guest-g20zoo.
Apr 27 06:55:56 Rho su[23881]: pam_unix(su:session): session closed for user guest-g20zoo
Apr 27 06:55:56 Rho systemd-logind[767]: Removed session c3.
Apr 27 06:55:56 Rho lightdm: pam_unix(lightdm-autologin:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session closed for user guest-g20zoo
Apr 27 06:55:56 Rho systemd-logind[767]: New session c4 of user guest-g20zoo.
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:56:51 Rho pkexec: pam_unix(polkit-1:session): session opened for user root by (uid=1000)
Apr 27 06:56:51 Rho pkexec: pam_systemd(polkit-1:session): Cannot create session: Already running in a session
抱歉,它的输出很多,但这是几分钟内来自guest-g20zoo的大部分活动。
我还检查了/etc/passwd
:
guest-G4J7WQ:x:120:132:Guest,,,:/tmp/guest-G4J7WQ:/bin/bash
和/etc/shadow
:
root:!:16669:0:99999:7:::
daemon:*:16547:0:99999:7:::
.
.
.
nobody:*:16547:0:99999:7:::
rhobot:$6$encrypted-passwd-cut-for-length.:16918:0:99999:7:::
guest-G4J7WQ:*:16689:0:99999:7:::
.
.
我不完全了解此输出对我的情况意味着什么。是guest-g20zoo
和guest-G4J7WQ
同一用户?
lastlog
显示:
guest-G4J7WQ Never logged in
但是,last
显示:
guest-g20zoo Wed Apr 27 06:55 - 20:33 (13:37)
因此,似乎他们不是同一用户,但在的输出中找不到guest-g20zoo lastlog
。
我想阻止用户guest-g20zoo的访问,但是由于(s)他没有出现,/etc/shadow
并且我假设不使用密码登录,而是使用ssh,passwd -l guest-g20zoo
行得通吗?
我尝试了systemctl stop sshd
,但收到了以下错误消息:
Failed to stop sshd.service: Unit sshd.service not loaded
这是否意味着远程登录已在我的系统上禁用,因此上述命令是多余的?
我试图找到有关此新用户的更多信息,例如他们从哪个IP地址登录,但是我似乎什么也找不到。
一些潜在的相关信息:
目前,我已连接到大学的网络,并且我的WiFi图标看起来不错,可以看到我的所有网络选项,并且没有弹出任何奇怪的浏览器。这是否表明任何登录我系统的人都在我家里WiFi路由器的范围内?
我跑了chkrootkit
,一切似乎都很好,但是我也不知道如何解释所有输出。我真的不知道该怎么办。我只想绝对确定此人(或其他任何人)将永远无法再次访问我的系统,并且我想查找并删除由他们创建的任何隐藏文件。谢谢,麻烦您了!
PS-在禁用WiFi和网络功能的情况下,我已经更改了密码并加密了重要文件。
sshd
服务器名称后没有任何条目,但是我同意删除该信息但仍然留下自己的痕迹是很奇怪的。还有其他方法可以检查我的某人已进入我的系统的跟踪吗?
sshd
服务器名称后的身份验证日志中是否有任何条目?如果没有,那么肯定没有ssh访问..除非他们清理了日志的那部分,并且不打扰清理其他条目,这很奇怪。