我 99.9% 确定我的个人计算机上的系统已被渗透。请允许我首先给出我的推理,以便情况清楚:
可疑活动的大致时间表和采取的后续行动:
4-26 23:00
我结束了所有程序并关闭了我的笔记本电脑。
4-27 12:00
笔记本电脑处于挂起模式大约 13 小时后,我打开了它。打开了多个窗口,包括:两个镀铬窗口、系统设置、软件中心。在我的桌面上有一个 git 安装程序(我检查过,它尚未安装)。
4-27 13:00
Chrome 历史记录显示登录到我的电子邮件,以及我没有启动的其他搜索历史记录(在 4-27 的 01:00 和 03:00 之间),包括“安装 git”。在我的浏览器中打开了一个选项卡,Digital Ocean“如何自定义您的 bash 提示”。我关闭后它重新打开了几次。我加强了 Chrome 的安全性。
我与 WiFi 断开连接,但是当我重新连接时,出现了一个向上箭头符号而不是标准符号,并且
在“编辑连接”下的Wifi 下拉菜单中不再有网络列表我注意到我的笔记本电脑已连接到 4-27 日 ~05:30 的名为“GFiberSetup 1802”的网络。我在 1802 xx Drive 的邻居刚刚安装了谷歌光纤,所以我猜它是相关的。
4-27 20:30
的who命令透露,第二用户guest-g20zoo已登录到我的系统。这是我运行 Ubuntu 的私人笔记本电脑,我的系统上不应该有其他人。惊慌失措,我运行sudo pkill -9 -u guest-g20zoo并禁用了网络和 Wifi
我查看/var/log/auth.log并发现了这个:
Apr 27 06:55:55 Rho useradd[23872]: new group: name=guest-g20zoo, GID=999
Apr 27 06:55:55 Rho useradd[23872]: new user: name=guest-g20zoo, UID=999, GID=999, …