Ordinateur personnel piraté: comment empêcher cet utilisateur de se reconnecter? Comment puis-je savoir comment ils se connectent?

26

Je suis sûr à 99,9% que mon système sur mon ordinateur personnel a été infiltré. Permettez-moi d'abord de donner mon raisonnement pour que la situation soit claire:

Chronologie d’activités suspectes et actions ultérieures:

4-26 23:00
J'ai terminé tous les programmes et fermé mon ordinateur portable.

4-27 12:00
J'ai ouvert mon ordinateur portable en mode veille depuis environ 13 heures. Plusieurs fenêtres étaient ouvertes, y compris: Deux fenêtres chromées, paramètres système, centre logiciel. Sur mon bureau, il y avait un installeur git (j'ai vérifié, il n'a pas été installé).

4-27 13:00
L'historique Chrome affiche les connexions à mon courrier électronique, ainsi que d'autres historiques de recherche que je n'ai pas initiés (entre 01h00 et 03h00 du 4 au 27), y compris "installation de git". Il y avait un onglet, Digital Ocean "Comment personnaliser votre invite bash" ouvert dans mon navigateur. Il a rouvert plusieurs fois après l'avoir fermé. J'ai renforcé la sécurité dans Chrome.

Je me suis déconnecté du WiFi, mais lorsque je me suis reconnecté, il y avait un symbole flèche haut-bas au lieu du symbole standard, et il n'y avait plus de liste de réseaux dans le menu déroulant pour Wifi
Sous "Modifier les connexions", j'ai remarqué que mon ordinateur portable était connecté à un réseau appelé "GFiberSetup 1802" à environ 05h30 du 4-27. Mes voisins à 1802 xx Drive avaient juste installé Google Fiber, donc je devine que c'est lié.

4-27 20:30
La commande who a révélé qu'un deuxième utilisateur nommé guest-g20zoo était connecté à mon système. Ceci est mon ordinateur portable privé qui exécute Ubuntu, il ne devrait y avoir personne d'autre sur mon système. Paniquer, j'ai couru sudo pkill -9 -u guest-g20zoo et désactivé le réseau et le wifi

J'ai regardé dans /var/log/auth.log et j'ai trouvé ceci:

Apr 27 06:55:55 Rho useradd[23872]: new group: name=guest-g20zoo, GID=999  
Apr 27 06:55:55 Rho useradd[23872]: new user: name=guest-g20zoo, UID=999, GID=999, home=/tmp/guest-g20zoo, shell=/bin/bash    
Apr 27 06:55:55 Rho su[23881]: Successful su for guest-g20zoo by root  
Apr 27 06:55:55 Rho su[23881]: + ??? root:guest-g20zoo  
Apr 27 06:55:55 Rho su[23881]: pam_unix(su:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd-logind[767]: New session c3 of user guest-g20zoo.  
Apr 27 06:55:56 Rho su[23881]: pam_unix(su:session): session closed for user guest-g20zoo  
Apr 27 06:55:56 Rho systemd-logind[767]: Removed session c3.  
Apr 27 06:55:56 Rho lightdm: pam_unix(lightdm-autologin:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session closed for user guest-g20zoo  
Apr 27 06:55:56 Rho systemd-logind[767]: New session c4 of user guest-g20zoo.  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:56:51 Rho pkexec: pam_unix(polkit-1:session): session opened for user root by (uid=1000)  
Apr 27 06:56:51 Rho pkexec: pam_systemd(polkit-1:session): Cannot create session: Already running in a session

Désolé, il y a beaucoup de résultats, mais cela représente l'essentiel de l'activité de guest-g20zoo dans le journal, le tout en quelques minutes.

J'ai aussi vérifié /etc/passwd :

guest-G4J7WQ:x:120:132:Guest,,,:/tmp/guest-G4J7WQ:/bin/bash

Et /etc/shadow :

root:!:16669:0:99999:7:::  
daemon:*:16547:0:99999:7:::  
.  
.  
.   
nobody:*:16547:0:99999:7:::  
rhobot:$encrypted-passwd-cut-for-length.:16918:0:99999:7:::  
guest-G4J7WQ:*:16689:0:99999:7:::  
.  
.

Je ne comprends pas tout à fait ce que cette sortie signifie pour ma situation. Est-ce que guest-g20zoo et guest-G4J7WQ le même utilisateur?

lastlog montre:

guest-G4J7WQ      Never logged in

Cependant, last affiche:

guest-g20zoo      Wed Apr 27 06:55 - 20:33 (13:37)

Il semble donc qu'ils ne sont pas le même utilisateur, mais guest-g20zoo était introuvable dans la sortie de lastlog .

Je voudrais bloquer l’accès pour l’utilisateur guest-g20zoo mais depuis (s) il n’apparaît pas dans /etc/shadow et je suppose qu’il n’utilise pas de mot de passe pour se connecter, mais utilise ssh, passwd -l guest-g20zoo travailler?

J'ai essayé systemctl stop sshd , mais j'ai reçu ce message d'erreur:

Failed to stop sshd.service: Unit sshd.service not loaded

Cela signifie-t-il que la connexion à distance a déjà été désactivée sur mon système et que, par conséquent, la commande ci-dessus est redondante?

J'ai essayé de trouver plus d’informations sur ce nouvel utilisateur, comme l’adresse IP à partir de laquelle ils sont connectés, mais je n'arrive pas à trouver quoi que ce soit.

Quelques informations potentiellement pertinentes:
Actuellement, je suis connecté au réseau de mon université, et mon icône WiFi a l'air bien, je peux voir toutes mes options de réseau, et il n'y a pas de navigateurs bizarres qui apparaissent tout seuls. Cela indique-t-il que la personne qui se connecte à mon système se trouve à portée de mon routeur WiFi chez moi?

J'ai couru chkrootkit et tout semblait très bien, mais je ne sais pas non plus comment interpréter toutes les sorties. Je ne sais pas vraiment quoi faire ici. Je veux juste être absolument sûr que cette personne (ou toute autre personne) ne pourra plus jamais accéder à mon système et je veux trouver et supprimer tous les fichiers cachés créés par eux. Merci et merci!

P.S. - J'ai déjà changé mon mot de passe et crypté mes fichiers importants alors que le WiFi et le réseau étaient désactivés.

    
posée Rosemary S 29.04.2016 - 00:57
la source

6 réponses

26

Il semble que quelqu'un ait ouvert une session d'invité sur votre ordinateur portable pendant que vous vous trouviez loin de votre chambre. Si j'étais vous, je demanderais autour de vous, ça pourrait être un ami.

Les comptes d'invité que vous voyez dans /etc/passwd et /etc/shadow ne sont pas suspects pour moi, ils sont créés par le système lorsque quelqu'un ouvre une session invité.

  

27 avril 06:55:55 Rho su [23881]: Su réussi pour guest-g20zoo par root

Cette ligne signifie que root a accès au compte invité, ce qui pourrait être normal mais devrait être examiné. J'ai essayé sur mon ubuntu1404LTS et je ne vois pas ce comportement. Vous devez essayer de vous connecter avec une session d'invité et afficher votre auth.log pour voir si cette ligne apparaît chaque fois qu'un utilisateur invité se connecte.

Toutes les fenêtres ouvertes de chrome que vous avez vues lorsque vous avez ouvert votre ordinateur portable. Est-il possible que vous voyiez le bureau de la session invité?

    
réponse donnée daniel 29.04.2016 - 08:33
la source
34

Essuyez le disque dur et réinstallez votre système d'exploitation à partir de rien.

En cas d’accès non autorisé, il est possible que l’attaquant puisse obtenir les privilèges root, il est donc raisonnable de supposer que cela s’est produit. Dans ce cas, auth.log apparaît pour confirmer que c'était effectivement le cas - à moins que vous ne change d'utilisateur:

  

27 avril 06:55:55 Rho su [23881]: Su réussi pour guest-g20zoo par root

Avec les privilèges root en particulier, ils peuvent avoir manipulé le système de manière pratiquement impossible sans une réinstallation, par exemple en modifiant les scripts de démarrage ou en installant de nouveaux scripts et applications qui s'exécutent au démarrage, etc. Celles-ci peuvent faire fonctionner des logiciels réseau non autorisés (pour faire partie d'un réseau de zombies) ou laisser des portes dérobées dans votre système. Essayer de détecter et de réparer ce genre de chose sans réinstaller est au mieux désordonné et ne garantit pas de vous débarrasser de tout.

    
réponse donnée thomasrutter 29.04.2016 - 02:47
la source
3

Je veux juste mentionner que "plusieurs onglets / fenêtres de navigateur ouverts, Software Center ouvert, les fichiers téléchargés sur le bureau" ne sont pas très cohérents avec une connexion à votre machine via SSH. Un attaquant se connectant via SSH obtiendrait une console de texte complètement distincte de ce que vous voyez sur votre bureau. Ils n'auraient pas non plus besoin de google "comment installer git" depuis votre session de bureau car ils seraient assis devant leur propre ordinateur, non? Même s’ils voulaient installer Git (pourquoi?), Ils n’auraient pas besoin de télécharger un programme d’installation car Git est dans les dépôts Ubuntu, quiconque sait quelque chose sur Git ou Ubuntu le sait. Et pourquoi ont-ils dû google pour personnaliser l'invite de bash?

Je soupçonne aussi que "Il y avait un onglet ... ouvert dans mon navigateur. Il a été rouvert plusieurs fois après l'avoir fermé" était en fait plusieurs onglets identiques ouverts, il fallait donc les fermer un par un.

Ce que j'essaie de dire ici, c'est que le modèle d'activité ressemble à un "singe avec une machine à écrire".

Vous n’avez pas non plus mentionné le fait que le serveur SSH soit installé - il n’est pas installé par défaut.

Donc, si vous êtes absolument certain que personne n’a eu accès à votre ordinateur portable à votre insu, et que votre ordinateur portable est équipé d’un écran tactile, il n’a pas été suspendu correctement. sac à dos alors je pense que tout peut être simplement une affaire de "poche appelant" - touches tactiles aléatoires combinées avec des suggestions de recherche et de correction automatique ouvert plusieurs fenêtres et effectué des recherches google, en cliquant sur des liens aléatoires et en téléchargeant des fichiers aléatoires.

En tant qu’anecdote personnelle, cela arrive de temps en temps avec mon smartphone dans ma poche, notamment en ouvrant plusieurs applications, en modifiant les paramètres du système, en envoyant des messages SMS semi-cohérents et en regardant des vidéos au hasard.

    
réponse donnée Sergey 04.05.2016 - 00:54
la source
2

Avez-vous des amis qui aiment accéder à votre ordinateur portable à distance / physiquement pendant votre absence? Si non:

Essuyez le disque dur avec DBAN et réinstallez le système d'exploitation à partir de zéro. Assurez-vous de sauvegarder d'abord.

Quelque chose a peut-être été gravement compromis dans Ubuntu même. Lorsque vous réinstallez:

Chiffrer /home . Si le disque dur / l’ordinateur portable lui-même est volé, il ne peut pas accéder aux données dans /home .

Crypter le disque dur. Cela empêche les utilisateurs de compromettre /boot sans se connecter. Vous devrez également entrer un mot de passe au démarrage (je pense).

Définissez un mot de passe fort. Si quelqu'un saisit le mot de passe du disque dur, il ne peut pas accéder à /home ou à login.

Cryptez votre réseau Wi-Fi. Quelqu'un peut s’être trouvé à proximité du routeur et avoir profité d’un accès Wi-Fi non crypté et s’être connecté à votre ordinateur portable.

Désactiver le compte invité. L’attaquant peut s’être connecté à votre ordinateur portable, avoir une connexion distante, être connecté via Invité et élevé le compte Invité à root. C'est une situation dangeureuse. Si cela se produisait, l'attaquant pourrait exécuter cette commande TRES DANGEREUSE :

rm -rf --no-preserve-root / 

Cela efface BEAUCOUP des données sur le disque dur, les corbeilles /home , et même pire, laisse Ubuntu complètement incapable de démarrer. Vous allez simplement être jeté dans le sauvetage de Grub, et vous ne pourrez pas vous en remettre. L'attaquant pourrait également détruire complètement le répertoire /home , et ainsi de suite. Si vous disposez d'un réseau domestique, l'attaquant pourrait également tous les autres ordinateurs de ce réseau ne pas pouvoir démarrer (s'ils exécutent Linux).

J'espère que cela aide. :)

    
réponse donnée TheComputerGeek010101001 29.04.2016 - 13:09
la source
1

L’activité "suspecte" s’explique par ce qui suit: mon ordinateur portable n’est plus suspendu lorsque le couvercle est fermé, l’ordinateur portable est un écran tactile et réagit à la pression exercée (éventuellement mes chats). Les lignes fournies à partir de /var/log/auth.log et la sortie de la commande who sont cohérentes avec une connexion à une session invité. Bien que j'aie désactivé la connexion à la session d'invité de l'hôte, celle-ci est toujours accessible depuis le menu déroulant situé dans le coin supérieur droit de Unity DE. Ergo, une session d'invité peut être ouverte pendant que je suis connecté.

J'ai testé la théorie de la "pression appliquée"; les fenêtres peuvent et s'ouvrent pendant que le couvercle est fermé. Je me suis également connecté à une nouvelle session d'invité. Les lignes de journal identiques à ce que je percevais comme une activité suspecte étaient présentes dans /var/log/auth.log après avoir fait cela. J'ai basculé les utilisateurs vers mon compte et j'ai exécuté la commande who - la sortie indiquait qu'un invité était connecté au système.

Le logo WiFi de la flèche haut-bas est revenu au logo WiFi standard et toutes les connexions disponibles sont visibles. Cela a été un problème avec notre réseau et n’est pas lié.

    
réponse donnée Rosemary S 04.05.2016 - 11:44
la source
-1

Retirez la carte sans fil / le stick et examinez les traces. Enregistrez vos journaux afin que askbuntu puisse vous aider. Après cela, essuyez vos disques et essayez une distribution différente, essayez un live cd laissez-le fonctionner pour voir s'il y a un motif pour les attaques.

    
réponse donnée Jim 29.04.2016 - 18:53
la source

Lire d'autres questions sur les étiquettes