Ros*_*y S 25 ssh security passwd-file
我 99.9% 确定我的个人计算机上的系统已被渗透。请允许我首先给出我的推理,以便情况清楚:
可疑活动的大致时间表和采取的后续行动:
4-26 23:00
我结束了所有程序并关闭了我的笔记本电脑。
4-27 12:00
笔记本电脑处于挂起模式大约 13 小时后,我打开了它。打开了多个窗口,包括:两个镀铬窗口、系统设置、软件中心。在我的桌面上有一个 git 安装程序(我检查过,它尚未安装)。
4-27 13:00
Chrome 历史记录显示登录到我的电子邮件,以及我没有启动的其他搜索历史记录(在 4-27 的 01:00 和 03:00 之间),包括“安装 git”。在我的浏览器中打开了一个选项卡,Digital Ocean“如何自定义您的 bash 提示”。我关闭后它重新打开了几次。我加强了 Chrome 的安全性。
我与 WiFi 断开连接,但是当我重新连接时,出现了一个向上箭头符号而不是标准符号,并且
在“编辑连接”下的Wifi 下拉菜单中不再有网络列表我注意到我的笔记本电脑已连接到 4-27 日 ~05:30 的名为“GFiberSetup 1802”的网络。我在 1802 xx Drive 的邻居刚刚安装了谷歌光纤,所以我猜它是相关的。
4-27 20:30
的who命令透露,第二用户guest-g20zoo已登录到我的系统。这是我运行 Ubuntu 的私人笔记本电脑,我的系统上不应该有其他人。惊慌失措,我运行sudo pkill -9 -u guest-g20zoo并禁用了网络和 Wifi
我查看/var/log/auth.log并发现了这个:
Apr 27 06:55:55 Rho useradd[23872]: new group: name=guest-g20zoo, GID=999
Apr 27 06:55:55 Rho useradd[23872]: new user: name=guest-g20zoo, UID=999, GID=999, home=/tmp/guest-g20zoo, shell=/bin/bash
Apr 27 06:55:55 Rho su[23881]: Successful su for guest-g20zoo by root
Apr 27 06:55:55 Rho su[23881]: + ??? root:guest-g20zoo
Apr 27 06:55:55 Rho su[23881]: pam_unix(su:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd-logind[767]: New session c3 of user guest-g20zoo.
Apr 27 06:55:56 Rho su[23881]: pam_unix(su:session): session closed for user guest-g20zoo
Apr 27 06:55:56 Rho systemd-logind[767]: Removed session c3.
Apr 27 06:55:56 Rho lightdm: pam_unix(lightdm-autologin:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session closed for user guest-g20zoo
Apr 27 06:55:56 Rho systemd-logind[767]: New session c4 of user guest-g20zoo.
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:56:51 Rho pkexec: pam_unix(polkit-1:session): session opened for user root by (uid=1000)
Apr 27 06:56:51 Rho pkexec: pam_systemd(polkit-1:session): Cannot create session: Already running in a session
抱歉,这是很多输出,但这是日志中来自 guest-g20zoo 的大量活动,所有这些都在几分钟内完成。
我还检查了/etc/passwd:
guest-G4J7WQ:x:120:132:Guest,,,:/tmp/guest-G4J7WQ:/bin/bash
并且/etc/shadow:
root:!:16669:0:99999:7:::
daemon:*:16547:0:99999:7:::
.
.
.
nobody:*:16547:0:99999:7:::
rhobot:$6$encrypted-passwd-cut-for-length.:16918:0:99999:7:::
guest-G4J7WQ:*:16689:0:99999:7:::
.
.
我不完全明白这个输出对我的情况意味着什么。是guest-g20zoo和guest-G4J7WQ同一个用户吗?
lastlog 显示:
guest-G4J7WQ Never logged in
然而,last显示:
guest-g20zoo Wed Apr 27 06:55 - 20:33 (13:37)
所以看起来他们不是同一个用户,但是在lastlog.
我想阻止用户 guest-g20zoo 的访问,但由于(s)他没有出现/etc/shadow,我假设不使用密码登录,而是使用 ssh,可以passwd -l guest-g20zoo吗?
我试过了systemctl stop sshd,但收到此错误消息:
Failed to stop sshd.service: Unit sshd.service not loaded
这是否意味着我的系统上已经禁用了远程登录,因此上述命令是多余的?
我试图找到关于这个新用户的更多信息,比如他们登录的 IP 地址,但我似乎找不到任何东西。
一些可能相关的信息:
目前我已连接到我大学的网络,我的 WiFi 图标看起来不错,我可以看到我所有的网络选项,并且没有任何奇怪的浏览器自行弹出。这是否表示登录我的系统的人在我家中的 WiFi 路由器范围内?
我跑了chkrootkit,一切似乎都很好,但我也不知道如何解释所有的输出。我真的不知道在这里做什么。我只是想绝对确定这个人(或其他任何人)将永远无法再次访问我的系统,我想找到并删除他们创建的任何隐藏文件。谢谢,麻烦您了!
PS - 在禁用 WiFi 和网络的情况下,我已经更改了密码并加密了我的重要文件。
tho*_*ter 33
擦除硬盘驱动器并从头开始重新安装操作系统。
在任何未经授权的访问的情况下,攻击者都有可能获得 root 权限,因此假设它发生了是明智的。在这种情况下, auth.log 似乎确认确实如此 - 除非这是您切换用户:
4 月 27 日 06:55:55 Rho su[23881]:root 为 guest-g20zoo 成功 su
特别是对于 root 权限,他们可能会以在不重新安装的情况下几乎无法修复的方式干扰系统,例如通过修改引导脚本或安装在引导时运行的新脚本和应用程序等。这些可以执行诸如运行未经授权的网络软件(即构成僵尸网络的一部分)或在您的系统中留下后门之类的事情。试图在不重新安装的情况下检测和修复此类事情充其量是一团糟,并且不能保证让您摆脱一切。
小智 26
看起来有人在您离开房间时在您的笔记本电脑上打开了访客会话。如果我是你,我会四处打听,那可能是朋友。
客人占你在看/etc/passwd和/etc/shadow不怀疑我,他们是由系统创建的,当有人打开一个访客会话。
4 月 27 日 06:55:55 Rho su[23881]:root 为 guest-g20zoo 成功 su
此行表示root可以访问来宾帐户,这可能是正常的,但应进行调查。我试过我的 ubuntu1404LTS 并没有看到这种行为。您应该尝试使用来宾会话登录并 grep 您的auth.log以查看每次来宾用户登录时是否出现此行。
您在打开笔记本电脑时看到的所有打开的 chrome 窗口。您是否有可能看到访客会话桌面?
| 归档时间: |
|
| 查看次数: |
6712 次 |
| 最近记录: |