Je suis sûr à 99,9% que mon système sur mon ordinateur personnel a été infiltré. Permettez-moi d'abord de donner mon raisonnement pour que la situation soit claire:
Chronologie approximative des activités suspectes et des actions ultérieures prises:
4-26 23:00
J'ai terminé tous les programmes et fermé mon ordinateur portable.
4-27 12:00
J'ai ouvert mon ordinateur portable après environ 13 heures de suspension. Plusieurs fenêtres étaient ouvertes, notamment: Deux fenêtres chrome, paramètres système, centre de logiciel. Sur mon bureau, il y avait un programme d'installation git (j'ai vérifié, il n'a pas été installé).
4-27 13:00
L'historique de Chrome affichait les connexions à mon courrier électronique, ainsi que d'autres historiques de recherche que je n'avais pas initiés (entre 01:00 et 03:00 le 4-27), y compris "l'installation de git". Il y avait un onglet, Digital Ocean "Comment personnaliser votre invite bash" ouvert dans mon navigateur. Il a rouvert plusieurs fois après ma fermeture. J'ai renforcé la sécurité dans Chrome.
Je me suis déconnecté du WiFi, mais lorsque je me suis reconnecté, il y avait un symbole de flèche haut-bas au lieu du symbole standard, et il n'y avait plus de liste de réseaux dans le menu déroulant pour le Wi-Fi.
Sous 'Edit Connections', j'ai remarqué que mon ordinateur portable était connecté à un réseau appelé "GFiberSetup 1802" à ~ 05: 30 le 4-27. Mes voisins de 1802 xx Drive viennent d’installer Google fibre, alors je suppose que c’est lié.
4-27 20h30
La commande who
a révélé qu'un deuxième utilisateur nommé guest-g20Zoo était connecté à mon système. Ceci est mon ordinateur portable privé qui exécute Ubuntu, il ne devrait y avoir personne d'autre sur mon système. Paniquant, j'ai couru Sudo pkill -9 -u guest-g20Zoo
et désactivé les réseaux et le Wifi
J'ai regardé dans /var/log/auth.log
et trouvé ceci:
Apr 27 06:55:55 Rho useradd[23872]: new group: name=guest-g20Zoo, GID=999
Apr 27 06:55:55 Rho useradd[23872]: new user: name=guest-g20Zoo, UID=999, GID=999, home=/tmp/guest-g20Zoo, Shell=/bin/bash
Apr 27 06:55:55 Rho su[23881]: Successful su for guest-g20Zoo by root
Apr 27 06:55:55 Rho su[23881]: + ??? root:guest-g20Zoo
Apr 27 06:55:55 Rho su[23881]: pam_unix(su:session): session opened for user guest-g20Zoo by (uid=0)
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20Zoo by (uid=0)
Apr 27 06:55:56 Rho systemd-logind[767]: New session c3 of user guest-g20Zoo.
Apr 27 06:55:56 Rho su[23881]: pam_unix(su:session): session closed for user guest-g20Zoo
Apr 27 06:55:56 Rho systemd-logind[767]: Removed session c3.
Apr 27 06:55:56 Rho lightdm: pam_unix(lightdm-autologin:session): session opened for user guest-g20Zoo by (uid=0)
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session closed for user guest-g20Zoo
Apr 27 06:55:56 Rho systemd-logind[767]: New session c4 of user guest-g20Zoo.
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20Zoo by (uid=0)
Apr 27 06:56:51 Rho pkexec: pam_unix(polkit-1:session): session opened for user root by (uid=1000)
Apr 27 06:56:51 Rho pkexec: pam_systemd(polkit-1:session): Cannot create session: Already running in a session
Désolé, cela produit beaucoup de sortie, mais c'est l'essentiel de l'activité de guest-g20Zoo dans le journal, le tout en quelques minutes.
J'ai aussi vérifié /etc/passwd
:
guest-G4J7WQ:x:120:132:Guest,,,:/tmp/guest-G4J7WQ:/bin/bash
Et /etc/shadow
:
root:!:16669:0:99999:7:::
daemon:*:16547:0:99999:7:::
.
.
.
nobody:*:16547:0:99999:7:::
rhobot:$6$encrypted-passwd-cut-for-length.:16918:0:99999:7:::
guest-G4J7WQ:*:16689:0:99999:7:::
.
.
Je ne comprends pas tout à fait ce que cette sortie signifie pour ma situation. guest-g20Zoo
et guest-G4J7WQ
sont-ils le même utilisateur?
lastlog
indique:
guest-G4J7WQ Never logged in
Cependant, last
indique:
guest-g20Zoo Wed Apr 27 06:55 - 20:33 (13:37)
Il semble donc que ce ne sont pas les mêmes utilisateurs, mais guest-g20Zoo était introuvable dans la sortie de lastlog
.
J'aimerais bloquer l'accès pour l'utilisateur guest-g20Zoo, mais comme il n'apparaît pas dans /etc/shadow
et si je suppose qu'il n'utilise pas de mot de passe pour se connecter, mais utilise ssh, passwd -l guest-g20Zoo
fonctionnera-t-il?
J'ai essayé systemctl stop sshd
, mais j'ai reçu le message d'erreur suivant:
Failed to stop sshd.service: Unit sshd.service not loaded
Cela signifie-t-il que la connexion à distance a déjà été désactivée sur mon système et que la commande ci-dessus est donc redondante?
J'ai essayé de trouver plus d'informations sur ce nouvel utilisateur, comme l'adresse IP à partir de laquelle il s'est connecté, mais je n'arrive pas à trouver quoi que ce soit.
Quelques informations potentiellement pertinentes:
Actuellement, je suis connecté au réseau de mon université et mon icône WiFi a l’air beau, je vois toutes les options de mon réseau et aucun navigateur étrange n’apparaît de manière autonome. Cela indique-t-il que la personne qui se connecte à mon système se trouve à portée de mon routeur WiFi chez moi?
J'ai exécuté chkrootkit
et tout semblait bien, mais je ne sais pas non plus comment interpréter tous les résultats. Je ne sais pas vraiment quoi faire ici. Je veux juste être absolument sûr que cette personne (ou qui que ce soit d'autre) ne pourra plus jamais accéder à mon système et je veux trouver et supprimer tous les fichiers cachés créés par eux. S'il te plaît et merci!
P.S. - J'ai déjà changé mon mot de passe et crypté mes fichiers importants alors que WiFi et réseau étaient désactivés.
On dirait que quelqu'un a ouvert une session d'invité sur votre ordinateur portable alors que vous étiez loin de votre chambre. Si j'étais vous, je demanderais autour de vous, c'est peut-être un ami.
Les comptes d'invités que vous voyez dans /etc/passwd
et /etc/shadow
ne me suspectent pas, ils sont créés par le système lorsque quelqu'un ouvre une session d'invité.
27 avr. 06:55:55 Rho su [23881]: Su réussi pour guest-g20Zoo par root
Cette ligne signifie que root
a accès au compte invité, ce qui peut être normal mais doit faire l’objet d’une enquête. J'ai essayé sur mon ubuntu1404LTS et je ne vois pas ce comportement. Vous devriez essayer de vous connecter avec une session invité et grep votre auth.log
pour voir si cette ligne apparaît chaque fois qu'un utilisateur invité se connecte.
Toutes les fenêtres de chrome ouvertes, que vous avez vues lors de l'ouverture de votre ordinateur portable. Est-il possible que vous voyiez le bureau de la session invité?
Essuyez le disque dur et réinstallez votre système d'exploitation à partir de zéro.
Dans tous les cas d'accès non autorisé, il est possible que l'attaquant ait pu obtenir les privilèges root, il est donc raisonnable de supposer que cela s'est produit. Dans ce cas, auth.log semble confirmer que tel était bien le cas - à moins que ce ne soit que vous ayez changé d'utilisateur:
27 avr. 06:55:55 Rho su [23881]: Su réussi pour guest-g20Zoo par root
Avec les privilèges root en particulier, ils peuvent avoir manipulé le système de façon pratiquement impossible à réparer sans réinstallation, par exemple en modifiant les scripts de démarrage ou en installant de nouveaux scripts et applications exécutés au démarrage, etc. Celles-ci peuvent, par exemple, exécuter un logiciel réseau non autorisé (c.-à-d. Faire partie d'un botnet) ou laisser des portes dérobées dans votre système. Essayer de détecter et de réparer ce genre de choses sans une réinstallation est au mieux compliqué, et il n’est pas garanti que vous soyez débarrassé de tout.
Je veux juste mentionner que "plusieurs onglets/fenêtres de navigateur ouverts, Centre de logiciel ouvert, fichiers téléchargés sur le bureau" n’est pas très cohérent avec une personne se connectant à votre machine via SSH. Un attaquant se connectant via SSH obtiendrait une console texte qui est complètement séparée de ce que vous voyez sur votre bureau. Ils n'auraient également pas besoin de google "comment installer git" à partir de votre session de bureau car ils seraient assis devant leur propre ordinateur, n'est-ce pas? Même s'ils voulaient installer Git (pourquoi?), Ils n'auraient pas besoin de télécharger un programme d'installation car Git se trouve dans les dépôts Ubuntu, quiconque connaît Git ou Ubuntu le sait. Et pourquoi ont-ils dû google comment personnaliser l'invite bash?
Je soupçonne aussi qu’il y avait un onglet ouvert dans mon navigateur. Il a été rouvert plusieurs fois après que je l’ai refermé. Il s’agissait en fait de plusieurs onglets identiques, il fallait donc les fermer un à un.
Ce que j'essaie de dire ici, c'est que le modèle d'activité ressemble à un "singe avec une machine à écrire".
Vous n'avez pas non plus mentionné que le serveur SSH était déjà installé - il n'est pas installé par défaut.
Donc, si vous êtes absolument certain que personne n’avait accès physique votre ordinateur portable à votre insu, et que votre ordinateur portable dispose d’un écran tactile, et que celui-ci ne se suspend pas correctement, et il a passé du temps dans votre sac à dos, alors pense que tout peut être simplement un cas d ’" appel de poche "- des touches d’écran aléatoires combinées à des suggestions de recherche et à la correction automatique ouvrent plusieurs fenêtres et permettent d’effectuer des recherches google, de cliquer sur des liens aléatoires et de télécharger des fichiers aléatoires.
Comme anecdote personnelle, cela se produit de temps en temps avec mon smartphone dans ma poche, notamment l'ouverture de plusieurs applications, la modification des paramètres du système, l'envoi de messages semi-cohérents SMS et la lecture aléatoire de vidéos youtube.
Avez-vous des amis qui aiment accéder à votre ordinateur portable à distance/physiquement pendant votre absence? Si non:
Essuyez le disque dur avec DBAN et réinstallez le système d’exploitation. Assurez-vous d’abord de sauvegarder.
Quelque chose a peut-être été gravement compromis dans Ubuntu même. Lorsque vous réinstallez:
Cryptez /home
. Si le disque dur/ordinateur portable lui-même est volé physiquement, il ne peut pas accéder aux données à l'intérieur de /home
.
Crypter le disque dur. Ceci empêche les gens de compromettre /boot
sans se connecter. Vous devrez également entrer un mot de passe pour le démarrage (je pense).
Définissez un mot de passe fort. Si quelqu'un trouve le mot de passe du disque dur, il ne peut pas accéder à /home
ni se connecter.
Cryptez votre WiFi. Quelqu'un peut être entré à proximité du routeur et avoir profité du Wifi non crypté et du ssh'd sur votre ordinateur portable.
Désactivez le compte Invité. Il est possible que l'attaquant se soit ssh'd dans votre ordinateur portable, ait établi une connexion à distance, ait ouvert une session via Invité et ait élevé le compte Invité à la racine. C'est une situation dangeureuse. Si cela se produisait, l'attaquant pourrait exécuter cette commande TRES DANGEREUX:
rm -rf --no-preserve-root /
Cela efface BEAUCOUP de données sur le disque dur, détruit /home
et, pire encore, laisse Ubuntu complètement incapable de démarrer. Vous serez simplement jeté dans le sauvetage des larves et vous ne pourrez pas vous en sortir. L’attaquant pourrait également détruire complètement le répertoire /home
, etc. Si vous avez un réseau domestique, l'attaquant pourrait également ne pas pouvoir démarrer tous les autres ordinateurs de ce réseau (s'ils exécutent Linux).
J'espère que ça aide. :)
L’activité "suspecte" s’explique par les éléments suivants: mon ordinateur portable n’est plus suspendu lorsque le couvercle est fermé, l’ordinateur portable est un écran tactile et réagit à la pression appliquée (peut-être à mes chats). Les lignes fournies à partir de /var/log/auth.log
et la sortie de la commande who
correspondent à une connexion de session invité. Bien que j'ai désactivé la connexion à la session d'invité à partir de la bannière, elle est toujours accessible à partir du menu déroulant situé dans le coin supérieur droit de l'Unity DE. Ainsi, une session d’invité peut être ouverte lorsque je suis connecté.
J'ai testé la théorie de la "pression appliquée"; les fenêtres peuvent et doivent s'ouvrir pendant que le couvercle est fermé. Je me suis également connecté à une nouvelle session d'invité. Des lignes de journal identiques à ce que je percevais comme une activité suspecte étaient présentes dans /var/log/auth.log
après avoir effectué cette opération. J'ai changé d'utilisateur, puis je suis retourné sur mon compte et j'ai exécuté la commande who
- la sortie indiquait qu'un invité était connecté au système.
Le logo WiFi fléché haut/bas est redevenu le logo WiFi standard et toutes les connexions disponibles sont visibles. Ceci était un problème avec notre réseau et n'a aucun rapport.