Ordinateur personnel piraté: comment empêcher cet utilisateur de se reconnecter? Comment savoir comment ils se connectent?

Je suis sûr à 99,9% que mon système sur mon ordinateur personnel a été infiltré. Permettez-moi d'abord de donner mon raisonnement pour que la situation soit claire:

Chronologie approximative de l'activité suspecte et des mesures ultérieures prises:

4-26 23:00
J'ai terminé tous les programmes et fermé mon ordinateur portable.

4-27 12:00
J'ai ouvert mon ordinateur portable après 13 heures de veille. Plusieurs fenêtres étaient ouvertes, notamment: deux fenêtres chromées, les paramètres système et le centre logiciel. Sur mon bureau, il y avait un programme d'installation de git (j'ai vérifié, il n'a pas été installé).

4-27 13:00
L'historique de Chrome affiche les connexions à mon e-mail et d'autres historiques de recherche que je n'ai pas lancés (entre 01:00 et 03:00 le 4-27), y compris "installation de git". Il y avait un onglet, Digital Ocean "Comment personnaliser votre invite bash" ouvert dans mon navigateur. Il a rouvert plusieurs fois après que je l'ai fermé. J'ai renforcé la sécurité dans Chrome.

Je me suis déconnecté du WiFi, mais lorsque je me suis reconnecté, il y avait un symbole de flèche vers le haut au lieu du symbole standard, et il n'y avait plus de liste de réseaux dans le menu déroulant pour le Wi-Fi.
Sous `` Modifier les connexions '', j'ai remarqué que mon ordinateur portable s'était connecté à un réseau appelé "GFiberSetup 1802" à ~ 05: 30 le 4-27. Mes voisins au 1802 xx Drive venaient d'installer Google fibre, donc je suppose que c'est lié.

4-27 20:30
La whocommande a révélé qu'un deuxième utilisateur nommé guest-g20zoo était connecté à mon système. Ceci est mon ordinateur portable privé qui exécute Ubuntu, il ne devrait y avoir personne d'autre sur mon système. Paniquant, j'ai couru sudo pkill -9 -u guest-g20zooet désactivé Networking et Wifi

J'ai regardé dedans /var/log/auth.loget j'ai trouvé ceci:

Apr 27 06:55:55 Rho useradd[23872]: new group: name=guest-g20zoo, GID=999  
Apr 27 06:55:55 Rho useradd[23872]: new user: name=guest-g20zoo, UID=999, GID=999, home=/tmp/guest-g20zoo, shell=/bin/bash    
Apr 27 06:55:55 Rho su[23881]: Successful su for guest-g20zoo by root  
Apr 27 06:55:55 Rho su[23881]: + ??? root:guest-g20zoo  
Apr 27 06:55:55 Rho su[23881]: pam_unix(su:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd-logind[767]: New session c3 of user guest-g20zoo.  
Apr 27 06:55:56 Rho su[23881]: pam_unix(su:session): session closed for user guest-g20zoo  
Apr 27 06:55:56 Rho systemd-logind[767]: Removed session c3.  
Apr 27 06:55:56 Rho lightdm: pam_unix(lightdm-autologin:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session closed for user guest-g20zoo  
Apr 27 06:55:56 Rho systemd-logind[767]: New session c4 of user guest-g20zoo.  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:56:51 Rho pkexec: pam_unix(polkit-1:session): session opened for user root by (uid=1000)  
Apr 27 06:56:51 Rho pkexec: pam_systemd(polkit-1:session): Cannot create session: Already running in a session

Désolé, c'est beaucoup de sortie, mais c'est l'essentiel de l'activité de guest-g20zoo dans le journal, le tout en quelques minutes.

J'ai également vérifié /etc/passwd:

guest-G4J7WQ:x:120:132:Guest,,,:/tmp/guest-G4J7WQ:/bin/bash

Et /etc/shadow:

root:!:16669:0:99999:7:::  
daemon:*:16547:0:99999:7:::  
.  
.  
.   
nobody:*:16547:0:99999:7:::  
rhobot:$6$encrypted-passwd-cut-for-length.:16918:0:99999:7:::  
guest-G4J7WQ:*:16689:0:99999:7:::  
.  
.

Je ne comprends pas entièrement ce que cette sortie signifie pour ma situation. Sont guest-g20zooet guest-G4J7WQle même utilisateur?

lastlog spectacles:

guest-G4J7WQ      Never logged in

Cependant, lastmontre:

guest-g20zoo      Wed Apr 27 06:55 - 20:33 (13:37)

Il semble donc qu'ils ne soient pas le même utilisateur, mais guest-g20zoo était introuvable dans la sortie de lastlog.

Je voudrais bloquer l'accès pour l'utilisateur guest-g20zoo mais comme il n'apparaît pas /etc/shadowet je suppose qu'il n'utilise pas de mot de passe pour se connecter, mais utilise ssh, ça passwd -l guest-g20zoomarche?

J'ai essayé systemctl stop sshd, mais j'ai reçu ce message d'erreur:

Failed to stop sshd.service: Unit sshd.service not loaded

Cela signifie-t-il que la connexion à distance était déjà désactivée sur mon système et que la commande ci-dessus est donc redondante?

J'ai essayé de trouver plus d'informations sur ce nouvel utilisateur, comme l'adresse IP à partir de laquelle il s'est connecté, mais je n'arrive pas à trouver quoi que ce soit.

Certaines informations potentiellement pertinentes:
actuellement, je suis connecté au réseau de mon université, et mon icône WiFi semble bien, je peux voir toutes mes options de réseau, et il n'y a pas de navigateurs étranges qui surgissent d'eux-mêmes. Cela signifie-t-il que la personne qui se connecte à mon système est à portée de mon routeur WiFi chez moi?

J'ai couru chkrootkitet tout semblait bien, mais je ne sais pas non plus comment interpréter toutes les sorties. Je ne sais pas vraiment quoi faire ici. Je veux juste être absolument sûr que cette personne (ou toute autre personne d'ailleurs) ne pourra plus jamais accéder à mon système et je veux trouver et supprimer tous les fichiers cachés créés par eux. S'il te plaît et merci!

PS - J'ai déjà changé mon mot de passe et crypté mes fichiers importants alors que le WiFi et la mise en réseau étaient désactivés.

On dirait que quelqu'un a ouvert une session d'invité sur votre ordinateur portable pendant que vous étiez loin de votre chambre. Si j'étais vous, je demanderais autour, c'est peut-être un ami.

Les comptes invités que vous voyez /etc/passwdet /etc/shadowqui ne me sont pas suspects, ils sont créés par le système lorsque quelqu'un ouvre une session invité.

27 avril 06:55:55 Rho su [23881]: Su succès pour guest-g20zoo par root

Cette ligne signifie qu'il roota accès au compte invité, ce qui pourrait être normal mais devrait être examiné. J'ai essayé mon ubuntu1404LTS et je ne vois pas ce comportement. Vous devriez essayer de vous connecter avec une session d'invité et de grep votre auth.logpour voir si cette ligne apparaît à chaque fois qu'un utilisateur invité se connecte.

Toutes les fenêtres de chrome ouvertes, que vous avez vues lorsque vous avez ouvert votre ordinateur portable. Est-il possible que vous voyiez le bureau de la session invité?

Essuyez le disque dur et réinstallez votre système d'exploitation à partir de zéro.

Dans tous les cas d'accès non autorisé, il est possible que l'attaquant ait pu obtenir les privilèges root, il est donc raisonnable de supposer que cela s'est produit. Dans ce cas, auth.log semble confirmer que c'était bien le cas - à moins que ce ne soit vous qui changiez d'utilisateur:

27 avril 06:55:55 Rho su [23881]: Su succès pour guest-g20zoo par root

Avec les privilèges root en particulier, ils peuvent avoir gâché le système d'une manière pratiquement impossible à corriger sans réinstallation, par exemple en modifiant les scripts de démarrage ou en installant de nouveaux scripts et applications qui s'exécutent au démarrage, etc. Ceux-ci pourraient faire des choses comme exécuter un logiciel réseau non autorisé (c'est-à-dire pour faire partie d'un botnet) ou laisser des portes dérobées dans votre système. Essayer de détecter et de réparer ce genre de chose sans réinstaller est au mieux désordonné et ne garantit pas de vous débarrasser de tout.

Je veux juste mentionner que "plusieurs onglets / fenêtres de navigateur ouverts, le Centre logiciel ouvert, les fichiers téléchargés sur le bureau" ne sont pas très cohérents avec une personne se connectant à votre machine via SSH. Un attaquant se connectant via SSH obtiendrait une console texte complètement distincte de ce que vous voyez sur votre bureau. Ils n'auraient pas non plus besoin de google "comment installer git" depuis votre session de bureau car ils seraient assis devant leur propre ordinateur, non? Même s'ils voulaient installer Git (pourquoi?), Ils n'auraient pas besoin de télécharger un programme d'installation car Git est dans les référentiels Ubuntu, toute personne qui sait quelque chose sur Git ou Ubuntu le sait. Et pourquoi ont-ils dû google pour personnaliser l'invite bash?

Je soupçonne également que "Il y avait un onglet ... ouvert dans mon navigateur. Il a rouvert plusieurs fois après que je l'ai fermé" était en fait plusieurs onglets identiques ouverts, vous avez donc dû les fermer un par un.

Ce que j'essaie de dire ici, c'est que le modèle d'activité ressemble à un "singe avec une machine à écrire".

Vous n'avez également pas mentionné que vous aviez même installé un serveur SSH - il n'est pas installé par défaut.

Donc, si vous êtes absolument sûr que personne n'a accès physiquement à votre ordinateur portable à votre insu, et que votre ordinateur portable a un écran tactile, et qu'il ne se suspend pas correctement, et qu'il a passé du temps dans votre sac à dos, alors je pense que tout peut être simplement un cas d '«appel de poche» - des touches d'écran aléatoires combinées à des suggestions de recherche et à une correction automatique ont ouvert plusieurs fenêtres et effectué des recherches google, en cliquant sur des liens aléatoires et en téléchargeant des fichiers aléatoires.

À titre d'anecdote personnelle - cela arrive de temps en temps avec mon smartphone dans ma poche, y compris l'ouverture de plusieurs applications, la modification des paramètres système, l'envoi de messages SMS semi-cohérents et la lecture de vidéos YouTube aléatoires.

Avez-vous des amis qui aiment accéder à votre ordinateur portable à distance / physiquement pendant votre absence? Si non:

Essuyez le disque dur avec DBAN et réinstallez le système d'exploitation à partir de zéro. Assurez-vous de sauvegarder d'abord.

Quelque chose a peut-être été gravement compromis dans Ubuntu lui-même. Lorsque vous réinstallez:

Chiffrer /home. Si le disque dur / l'ordinateur portable lui-même est physiquement volé, ils ne peuvent pas accéder aux données qu'il contient /home.

Chiffrez le disque dur. Cela empêche les gens de faire des compromis /bootsans se connecter. Vous devrez également entrer un mot de passe au démarrage (je pense).

Définissez un mot de passe fort. Si quelqu'un comprend le mot de passe du disque dur, il ne peut pas y accéder /homeni se connecter.

Chiffrez votre WiFi. Quelqu'un peut être entré à proximité du routeur et avoir profité du Wi-Fi non chiffré et ssh'd dans votre ordinateur portable.

Désactivez le compte invité. L'attaquant peut avoir pénétré dans votre ordinateur portable, obtenu une connexion à distance, connecté via Guest et élevé le compte Guest à la racine. C'est une situation dangeureuse. Si cela se produisait, l'attaquant pourrait exécuter cette commande TRÈS DANGEREUSE :

rm -rf --no-preserve-root / 

Cela efface BEAUCOUP de données sur le disque dur, les poubelles /home, et pire encore, laisse Ubuntu complètement incapable de démarrer. Vous serez simplement jeté dans le sauvetage de larves et vous ne pourrez pas vous remettre de cela. L'attaquant pourrait également détruire complètement le /homerépertoire, etc. Si vous avez un réseau domestique, l'attaquant pourrait également que tous les autres ordinateurs de ce réseau ne puissent pas démarrer (s'ils exécutent Linux).

J'espère que ça aide. :)

L'activité "suspecte" s'explique par ce qui suit: mon ordinateur portable ne suspend plus lorsque le couvercle est fermé, l'ordinateur portable est un écran tactile et a réagi à la pression appliquée (éventuellement mes chats). Les lignes fournies par /var/log/auth.loget la sortie de la whocommande sont cohérentes avec une connexion de session invité. Bien que j'aie désactivé la connexion à la session d'invité à partir de l'accueil, elle est toujours accessible à partir du menu déroulant dans le coin supérieur droit du Unity DE. Ergo, une session invité peut être ouverte pendant que je suis connecté.

J'ai testé la théorie de la "pression appliquée"; les fenêtres peuvent s'ouvrir et s'ouvrent lorsque le couvercle est fermé. Je me suis également connecté à une nouvelle session d'invité. Des lignes de journal identiques à ce que j'ai perçu comme une activité suspecte étaient présentes /var/log/auth.logaprès avoir fait cela. J'ai changé d'utilisateur, je suis revenu sur mon compte et j'ai exécuté la whocommande - la sortie indiquait qu'un invité était connecté au système.

Le logo WiFi flèche haut-bas est revenu au logo WiFi standard, et toutes les connexions disponibles sont visibles. Il s'agissait d'un problème avec notre réseau, et n'a aucun rapport.

Retirez la carte / clé sans fil et regardez les traces. Enregistrez vos journaux afin que askbuntu puisse vous aider davantage. Après cela, essuyez vos disques et essayez une distribution différente, essayez un CD en direct, laissez-le fonctionner pour voir s'il y a un modèle aux attaques.