个人计算机被黑客入侵：如何阻止该用户再次登录？我如何找到他们如何登录？

我确定99.9％的个人计算机上的系统已被入侵。请允许我先说明一下，这样情况会很清楚：

可疑活动的大致时间表以及随后采取的措施：

4-26 23:00
我结束了所有程序并关闭了笔记本电脑。

4-27 12:00
笔记本电脑进入暂停模式约13个小时后，我打开了笔记本电脑。打开了多个窗口，包括：两个chrome窗口，系统设置，软件中心。在我的桌面上有一个git安装程序（我检查过，尚未安装）。

4-27 13:00
Chrome历史记录显示了登录到我的电子邮件的登录信息以及我未初始化的其他搜索历史记录（4-27的01:00到03:00之间），包括“安装git”。在浏览器中打开了一个标签页，“ Digital Ocean”“如何自定义bash提示”。我关闭它后，它又重新打开了好几次。我加强了Chrome的安全性。

我断开了与WiFi的连接，但是当我重新连接时，出现了一个向上的箭头符号，而不是标准的符号，并且
在“编辑连接”下，Wifi的下拉菜单中不再有网络列表，我注意到我的笔记本电脑已连接在4-27的〜05：30连接到名为“ GFiberSetup 1802”的网络。我在1802 xx Drive的邻居刚刚安装了谷歌光纤，所以我想这是相关的。

4-27 20:30
该who命令显示第二个名为guest-g20zoo的用户已登录我的系统。这是我运行Ubuntu的私人笔记本电脑，我的系统上不应有其他人。恐慌，我跑步sudo pkill -9 -u guest-g20zoo并禁用了网络和Wifi

我看了看/var/log/auth.log，发现：

Apr 27 06:55:55 Rho useradd[23872]: new group: name=guest-g20zoo, GID=999  
Apr 27 06:55:55 Rho useradd[23872]: new user: name=guest-g20zoo, UID=999, GID=999, home=/tmp/guest-g20zoo, shell=/bin/bash    
Apr 27 06:55:55 Rho su[23881]: Successful su for guest-g20zoo by root  
Apr 27 06:55:55 Rho su[23881]: + ??? root:guest-g20zoo  
Apr 27 06:55:55 Rho su[23881]: pam_unix(su:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd-logind[767]: New session c3 of user guest-g20zoo.  
Apr 27 06:55:56 Rho su[23881]: pam_unix(su:session): session closed for user guest-g20zoo  
Apr 27 06:55:56 Rho systemd-logind[767]: Removed session c3.  
Apr 27 06:55:56 Rho lightdm: pam_unix(lightdm-autologin:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session closed for user guest-g20zoo  
Apr 27 06:55:56 Rho systemd-logind[767]: New session c4 of user guest-g20zoo.  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:56:51 Rho pkexec: pam_unix(polkit-1:session): session opened for user root by (uid=1000)  
Apr 27 06:56:51 Rho pkexec: pam_systemd(polkit-1:session): Cannot create session: Already running in a session

抱歉，它的输出很多，但这是几分钟内来自guest-g20zoo的大部分活动。

我还检查了/etc/passwd：

guest-G4J7WQ:x:120:132:Guest,,,:/tmp/guest-G4J7WQ:/bin/bash

和/etc/shadow：

root:!:16669:0:99999:7:::  
daemon:*:16547:0:99999:7:::  
.  
.  
.   
nobody:*:16547:0:99999:7:::  
rhobot:$6$encrypted-passwd-cut-for-length.:16918:0:99999:7:::  
guest-G4J7WQ:*:16689:0:99999:7:::  
.  
.

我不完全了解此输出对我的情况意味着什么。是guest-g20zoo和guest-G4J7WQ同一用户？

lastlog 显示：

guest-G4J7WQ      Never logged in

但是，last显示：

guest-g20zoo      Wed Apr 27 06:55 - 20:33 (13:37)

因此，似乎他们不是同一用户，但在的输出中找不到guest-g20zoo lastlog。

我想阻止用户guest-g20zoo的访问，但是由于（s）他没有出现，/etc/shadow并且我假设不使用密码登录，而是使用ssh，passwd -l guest-g20zoo行得通吗？

我尝试了systemctl stop sshd，但收到了以下错误消息：

Failed to stop sshd.service: Unit sshd.service not loaded

这是否意味着远程登录已在我的系统上禁用，因此上述命令是多余的？

我试图找到有关此新用户的更多信息，例如他们从哪个IP地址登录，但是我似乎什么也找不到。

一些潜在的相关信息：
目前，我已连接到大学的网络，并且我的WiFi图标看起来不错，可以看到我的所有网络选项，并且没有弹出任何奇怪的浏览器。这是否表明任何登录我系统的人都在我家里WiFi路由器的范围内？

我跑了chkrootkit，一切似乎都很好，但是我也不知道如何解释所有输出。我真的不知道该怎么办。我只想绝对确定此人（或其他任何人）将永远无法再次访问我的系统，并且我想查找并删除由他们创建的任何隐藏文件。谢谢，麻烦您了！

PS-在禁用WiFi和网络功能的情况下，我已经更改了密码并加密了重要文件。

好像有人在您离开房间的时候在您的笔记本电脑上打开了访客会话。如果我是你，我想问一下，那就可能是朋友。

您在/etc/passwd和中看到的访客帐户/etc/shadow不可疑对我来说，他们是由系统创建的，当有人打开一个访客会话。

4月27日06:55:55 Rho su [23881]：root用户来宾g20zoo的成功su

这行的意思是 root可以访问来宾帐户，这可能是正常的，但应进行调查。我已经尝试过ubuntu1404LTS，但没有看到这种行为。您应该尝试使用访客会话登录并grep您，auth.log以查看访客用户每次登录时是否显示此行。

打开笔记本电脑时看到的所有打开的Chrome窗口。您是否有可能看到访客会话桌面？

擦拭硬盘驱动器，然后从头开始重新安装操作系统。

在任何未经授权的访问情况下，攻击者都有可能获得root特权，因此明智的做法是假定它发生了。在这种情况下，auth.log似乎确认确实如此-除非您是切换用户：

4月27日06:55:55 Rho su [23881]：root用户来宾g20zoo的成功su

尤其是具有root特权的用户，它们可能以某种方式陷入系统混乱，而实际上这种方式如果不重新安装就无法修复，例如通过修改启动脚本或安装新的脚本和在启动时运行的应用程序等等。这些可能会执行诸如运行未经授权的网络软件（即构成僵尸网络的一部分）或将后门留给系统的行为。尝试在不重新安装的情况下检测和修复此类问题充其量是杂乱无章的，并且不能保证将所有内容都消除。

我只想提到“多个浏览器选项卡/窗口打开，软件中心打开，文件下载到桌面”与通过SSH登录到您的计算机的不一致。通过SSH登录的攻击者将获得一个文本控制台，该控制台与您在桌面上看到的完全不同。他们也不需要从您的桌面会话中搜索“如何安装git”，因为他们会坐在自己的计算机前，对吗？即使他们想要安装Git（为什么？），他们也不需要下载安装程序，因为Git在Ubuntu存储库中，任何对Git或Ubuntu有所了解的人都知道这一点。为什么他们必须在Google上自定义bash提示？

我还怀疑“在浏览器中打开了一个选项卡。在关闭它后重新打开了几次”实际上是打开了多个相同的选项卡，因此您必须一个个地关闭它们。

我在这里要说的是，活动方式类似于“打字机的猴子”。

您也没有提到您甚至安装了SSH服务器-默认情况下未安装。

因此，如果您完全确定没有人在您不知情的情况下物理访问过您的笔记本电脑，并且您的笔记本电脑带有触摸屏，并且无法正常挂起，并且在背包中花费了一些时间，那么我认为这一切都可以“自掏腰包”情况-随机屏幕触摸与搜索建议和自动更正相结合，打开了多个窗口并执行了Google搜索，点击了随机链接并下载了随机文件。

作为个人轶事-它会不时地放在我的智能手机中，包括打开多个应用程序，更改系统设置，发送半连贯的SMS消息以及观看随机的YouTube视频。

您有没有喜欢在旅途中远程/物理访问笔记本电脑的朋友？如果不：

用DBAN擦拭HDD，然后从头开始重新安装操作系统。确保先备份。

Ubuntu本身可能已经严重破坏了某些东西。重新安装时：

加密/home。如果HDD /笔记本电脑本身曾被盗，则它们将无法访问中的数据/home。

加密硬盘。这样可以防止人们在/boot不登录的情况下妥协。您还必须输入启动时密码（我认为）。

设置一个强密码。如果有人指出了HDD密码，则他们将无法访问/home或登录。

加密您的WiFi。可能有人进入路由器的范围之内，并利用了未加密的Wifi并将其SSH装入笔记本电脑。

禁用访客帐户。攻击者可能已经进入您的笔记本电脑，建立了远程连接，通过Guest登录，并将Guest帐户提升为root。这是危险的情况。如果发生这种情况，攻击者可以运行此VERY DANGEROUS命令：

rm -rf --no-preserve-root / 

这会删除大量的硬盘，象垃圾一样清除数据/home，甚至更糟的是，叶子的Ubuntu完全无法开机甚至。您将被投入抢救，您将无法从中恢复。攻击者还可能完全破坏/home目录，依此类推。如果您有家庭网络，则攻击者还可能会启动该网络上的所有其他计算机（如果它们运行Linux）。

我希望这有帮助。:)

“可疑”活动的解释如下：盖上盖子后，笔记本电脑不再挂起，笔记本电脑是触摸屏，对施加的压力（可能是我的猫）有反应。从中提供的行/var/log/auth.log以及who命令的输出与来宾会话登录一致。当我从迎宾员禁用访客会话登录时，仍然可以从Unity DE右上角的下拉菜单中访问它。抱歉，我登录后可以打开访客会话。

我已经测试了“施加压力”理论；关闭盖子后，窗户可以打开并且确实打开。我还登录了一个新的访客会话。执行完/var/log/auth.log此操作后，出现了与我认为可疑活动相同的日志行。我切换了用户，回到我的帐户，并运行了who命令-输出表明有一个来宾登录到系统。

上下箭头WiFi徽标已还原为标准WiFi徽标，并且所有可用的连接均可见。这是我们网络的问题，并且无关紧要。

拔出无线网卡/棒，然后查看迹线。记录您的日志，以便askbuntu可以进一步提供帮助。之后，擦拭驱动器并尝试使用其他发行版，尝试运行cd使其运行，以查看是否存在攻击的模式。