Personal computer hackerato: come posso impedire a questo utente di accedere nuovamente? Come faccio a sapere come accedono?

Sono sicuro al 99,9% che il mio sistema sul mio personal computer è stato infiltrato. Consentitemi innanzitutto di esprimere il mio ragionamento in modo che la situazione sia chiara:

Cronologia approssimativa di attività sospette e successive azioni intraprese:

4-26 23:00
Ho terminato tutti i programmi e chiuso il mio laptop.

4-27 12:00
Ho aperto il mio laptop dopo essere stato in modalità di sospensione per circa 13 ore. Sono state aperte più finestre tra cui: due finestre cromate, impostazioni di sistema, centro software. Sul mio desktop c'era un programma di installazione git (ho controllato, non è stato installato).

4-27 13:00 La
cronologia di Chrome ha visualizzato gli accessi alla mia e-mail e altre cronologie di ricerca che non ho avviato (tra l'01: 00 e le 03:00 il 4-27), incluso "install git". C'era una scheda, Digital Ocean "Come personalizzare il tuo prompt bash" aperta nel mio browser. Ha riaperto più volte dopo averlo chiuso. Ho rafforzato la sicurezza in Chrome.

Mi sono disconnesso dal WiFi, ma quando mi sono riconnesso c'era un simbolo freccia su-giù invece del simbolo standard, e non c'era più un elenco di reti nel menu a discesa per Wifi
Sotto 'Modifica connessioni' ho notato che il mio laptop si era collegato a una rete chiamata "GFiberSetup 1802" a ~ 05: 30 il 4-27. I miei vicini di casa nel 1802 xx Drive avevano appena installato Google Fiber, quindi immagino che sia correlato.

4-27 20:30
Il whocomando ha rivelato che un secondo utente di nome guest-g20zoo era registrato nel mio sistema. Questo è il mio laptop privato che esegue Ubuntu, non dovrebbe esserci nessun altro sul mio sistema. Nel panico, ho corso sudo pkill -9 -u guest-g20zooe disabilitato Networking e Wifi

Ho guardato dentro /var/log/auth.loge ho trovato questo:

Apr 27 06:55:55 Rho useradd[23872]: new group: name=guest-g20zoo, GID=999  
Apr 27 06:55:55 Rho useradd[23872]: new user: name=guest-g20zoo, UID=999, GID=999, home=/tmp/guest-g20zoo, shell=/bin/bash    
Apr 27 06:55:55 Rho su[23881]: Successful su for guest-g20zoo by root  
Apr 27 06:55:55 Rho su[23881]: + ??? root:guest-g20zoo  
Apr 27 06:55:55 Rho su[23881]: pam_unix(su:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd-logind[767]: New session c3 of user guest-g20zoo.  
Apr 27 06:55:56 Rho su[23881]: pam_unix(su:session): session closed for user guest-g20zoo  
Apr 27 06:55:56 Rho systemd-logind[767]: Removed session c3.  
Apr 27 06:55:56 Rho lightdm: pam_unix(lightdm-autologin:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session closed for user guest-g20zoo  
Apr 27 06:55:56 Rho systemd-logind[767]: New session c4 of user guest-g20zoo.  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:56:51 Rho pkexec: pam_unix(polkit-1:session): session opened for user root by (uid=1000)  
Apr 27 06:56:51 Rho pkexec: pam_systemd(polkit-1:session): Cannot create session: Already running in a session

Mi dispiace che sia un sacco di output, ma questa è la maggior parte delle attività di guest-g20zoo nel registro, il tutto in un paio di minuti.

Ho anche controllato /etc/passwd:

guest-G4J7WQ:x:120:132:Guest,,,:/tmp/guest-G4J7WQ:/bin/bash

E /etc/shadow:

root:!:16669:0:99999:7:::  
daemon:*:16547:0:99999:7:::  
.  
.  
.   
nobody:*:16547:0:99999:7:::  
rhobot:$6$encrypted-passwd-cut-for-length.:16918:0:99999:7:::  
guest-G4J7WQ:*:16689:0:99999:7:::  
.  
.

Non capisco bene cosa significhi questo risultato per la mia situazione. Sono guest-g20zooe guest-G4J7WQlo stesso utente?

lastlog Spettacoli:

guest-G4J7WQ      Never logged in

Tuttavia, lastmostra:

guest-g20zoo      Wed Apr 27 06:55 - 20:33 (13:37)

Quindi sembra che non siano lo stesso utente, ma guest-g20zoo non si trovava da nessuna parte nell'output di lastlog.

Vorrei bloccare l'accesso per l'utente guest-g20zoo ma dato che non appare /etc/shadowe che presumo non usi una password per accedere, ma usa ssh, passwd -l guest-g20zoofunzionerà?

Ho provato systemctl stop sshd, ma ho ricevuto questo messaggio di errore:

Failed to stop sshd.service: Unit sshd.service not loaded

Questo significa che l'accesso remoto era già disabilitato sul mio sistema e quindi il comando sopra è ridondante?

Ho provato a trovare ulteriori informazioni su questo nuovo utente, come l'indirizzo IP da cui hanno effettuato l'accesso, ma non riesco a trovare nulla.

Alcune informazioni potenzialmente rilevanti:
attualmente sono connesso alla rete della mia università e la mia icona WiFi sembra a posto, posso vedere tutte le mie opzioni di rete e non ci sono browser strani che spuntano da soli. Questo indica che chiunque acceda al mio sistema si trova nel raggio del mio router WiFi a casa mia?

Corsi chkrootkite tutto sembrava a posto, ma non so nemmeno come interpretare tutto l'output. Non so davvero cosa fare qui. Voglio solo essere assolutamente sicuro che questa persona (o chiunque altro) non sarà mai in grado di accedere nuovamente al mio sistema e voglio trovare e rimuovere tutti i file nascosti creati da loro. Per favore e grazie!

PS: ho già cambiato la mia password e crittografato i miei file importanti mentre WiFi e rete erano disabilitati.

Sembra che qualcuno abbia aperto una sessione ospite sul tuo laptop mentre sei lontano dalla tua stanza. Se fossi in te chiederei in giro, potrebbe essere un amico.

Gli account guest che vedi /etc/passwde /etc/shadownon sono sospetti nei miei confronti, vengono creati dal sistema quando qualcuno apre una sessione guest.

27 apr 06:55:55 Rho su [23881]: Su di successo per guest-g20zoo di root

Questa riga indica l' rootaccesso all'account ospite, che potrebbe essere normale ma dovrebbe essere esaminato. Ho provato sul mio ubuntu1404LTS e non vedo questo comportamento. Dovresti provare ad accedere con una sessione ospite e grep tuo auth.logper vedere se questa linea appare ogni volta che un utente ospite accede.

Tutte le finestre aperte di Chrome, che hai visto quando hai aperto il tuo laptop. È possibile che tu stia visualizzando il desktop della sessione ospite?

Pulisci il disco rigido e reinstalla il tuo sistema operativo da zero.

In ogni caso di accesso non autorizzato esiste la possibilità che l'attaccante fosse in grado di ottenere i privilegi di root, quindi è ragionevole supporre che ciò sia accaduto. In questo caso, auth.log sembra confermare che questo fosse effettivamente il caso - a meno che non sei stato tu a cambiare utente:

27 apr 06:55:55 Rho su [23881]: Su di successo per guest-g20zoo di root

Con i privilegi di root in particolare, potrebbero aver incasinato il sistema in modi che sono praticamente impossibili da correggere senza una reinstallazione, ad esempio modificando gli script di avvio o installando nuovi script e applicazioni che vengono eseguiti all'avvio, e così via. Questi potrebbero fare cose come eseguire software di rete non autorizzato (ad esempio per far parte di una botnet) o lasciare backdoor nel sistema. Cercare di rilevare e riparare questo genere di cose senza una reinstallazione è al massimo disordinato e non è garantito liberarti di tutto.

Voglio solo menzionare che "più schede / finestre del browser aperte, Software Center aperto, file scaricati sul desktop" non sono molto coerenti con qualcuno che accede alla tua macchina tramite SSH. Un utente malintenzionato che accede tramite SSH otterrebbe una console di testo completamente separata da ciò che si vede sul desktop. Inoltre non avrebbero bisogno di google "come installare git" dalla tua sessione desktop perché sarebbero seduti davanti al proprio computer, giusto? Anche se volessero installare Git (perché?), Non dovrebbero scaricare un programma di installazione perché Git si trova nei repository di Ubuntu, chiunque sappia qualcosa su Git o Ubuntu lo sa. E perché hanno dovuto cercare su Google come personalizzare il prompt di bash?

Ho anche il sospetto che "C'era una scheda ... aperta nel mio browser. È stata riaperta più volte dopo che l'ho chiusa" in realtà erano aperte più schede identiche, quindi dovevi chiuderle una per una.

Quello che sto cercando di dire qui è che il modello di attività ricorda una "scimmia con una macchina da scrivere".

Inoltre, non hai menzionato di aver nemmeno installato il server SSH: non è installato per impostazione predefinita.

Quindi, se sei assolutamente sicuro che nessuno abbia avuto accesso fisico al tuo laptop a tua insaputa, e il tuo laptop ha un touchscreen e non si sospende correttamente e ha trascorso un po 'di tempo nello zaino, penso che tutto possa essere semplicemente un caso di "pocket pocket": tocchi casuali dello schermo combinati con suggerimenti di ricerca e correzione automatica hanno aperto più finestre ed eseguito ricerche su Google, facendo clic su collegamenti casuali e scaricando file casuali.

Come aneddoto personale: succede di tanto in tanto con il mio smartphone in tasca, tra cui l'apertura di più app, la modifica delle impostazioni di sistema, l'invio di messaggi SMS semi-coerenti e la visione di video casuali su YouTube.

Hai amici a cui piace accedere al tuo laptop da remoto / fisicamente mentre non ci sei? Altrimenti:

Pulire l'HDD con DBAN e reinstallare il sistema operativo da zero. Assicurati di eseguire prima il backup.

Qualcosa potrebbe essere stato gravemente compromesso all'interno di Ubuntu stesso. Quando si reinstalla:

Crittografa /home. Se l'HDD / laptop stesso viene mai fisicamente rubato, non possono accedere ai dati all'interno/home .

Crittografa l'HDD. Questo impedisce alle persone di scendere a compromessi/boot senza effettuare l'accesso. Dovrai anche inserire una password di avvio (credo).

Imposta una password complessa. Se qualcuno scopre la password dell'HDD, non può accedere /homeo effettuare il login.

Crittografa il tuo WiFi. Qualcuno potrebbe essersi avvicinato alla vicinanza del router e aver sfruttato la connessione WiFi non crittografata e averlo collegato al tuo laptop.

Disabilita l'account ospite. L'utente malintenzionato potrebbe aver eseguito l'accesso al proprio laptop, ottenuto una connessione remota, effettuato l'accesso tramite Ospite e elevato l'account Ospite a root. Questa è una situazione pericolosa. In tal caso, l'attaccante potrebbe eseguire questo comando MOLTO PERICOLOSO :

rm -rf --no-preserve-root / 

Questo cancella MOLTI dati sull'HDD, trashes/home e, peggio ancora, Ubuntu non è in grado di avviarsi. Verrai semplicemente gettato in soccorso di Grub e non potrai recuperarlo. L'aggressore potrebbe anche distruggere completamente la /homedirectory e così via. Se si dispone di una rete domestica, l'utente malintenzionato potrebbe anche avviare tutti gli altri computer su quella rete (se eseguono Linux).

Spero che aiuti. :)

L'attività "sospetta" è spiegata da quanto segue: il mio laptop non si sospende più quando il coperchio è chiuso, il laptop è un touchscreen e ha reagito alla pressione applicata (probabilmente i miei gatti). Le linee fornite da/var/log/auth.log e l'output del whocomando sono coerenti con un login della sessione guest. Mentre disabilitavo l'accesso alla sessione ospite dalla schermata di benvenuto, è ancora accessibile dal menu a discesa nell'angolo in alto a destra in Unity DE. Ergo, una sessione ospite può essere aperta mentre sono connesso.

Ho testato la teoria della "pressione applicata"; le finestre possono aprirsi mentre il coperchio è chiuso. Ho anche effettuato l'accesso a una nuova sessione ospite. Linee di registro identiche a quelle che ho percepito come attività sospette erano presenti /var/log/auth.logdopo averlo fatto. Ho cambiato utente, tornando al mio account ed eseguito il whocomando - l'output ha indicato che c'era un ospite collegato al sistema.

Il logo WiFi con la freccia su-giù è tornato al logo WiFi standard e tutte le connessioni disponibili sono visibili. Questo era un problema con la nostra rete ed è indipendente.

Estrarre la scheda / stick wireless e guardare oltre le tracce. Registra i tuoi registri in modo che askbuntu possa aiutarti ulteriormente. Dopo di che cancella le tue unità e prova una distro diversa, prova un cd live lasciandolo in esecuzione per vedere se c'è un modello per gli attacchi.