Je suis sûr à 99,9% que mon système sur mon ordinateur personnel a été infiltré. Permettez-moi d'abord de donner mon raisonnement pour que la situation soit claire:
Chronologie d’activités suspectes et actions ultérieures:
4-26 23:00
J'ai terminé tous les programmes et fermé mon ordinateur portable.
4-27 12:00
J'ai ouvert mon ordinateur portable en mode veille depuis environ 13 heures. Plusieurs fenêtres étaient ouvertes, y compris: Deux fenêtres chromées, paramètres système, centre logiciel. Sur mon bureau, il y avait un installeur git (j'ai vérifié, il n'a pas été installé).
4-27 13:00
L'historique Chrome affiche les connexions à mon courrier électronique, ainsi que d'autres historiques de recherche que je n'ai pas initiés (entre 01h00 et 03h00 du 4 au 27), y compris "installation de git". Il y avait un onglet, Digital Ocean "Comment personnaliser votre invite bash" ouvert dans mon navigateur. Il a rouvert plusieurs fois après l'avoir fermé. J'ai renforcé la sécurité dans Chrome.
Je me suis déconnecté du WiFi, mais lorsque je me suis reconnecté, il y avait un symbole flèche haut-bas au lieu du symbole standard, et il n'y avait plus de liste de réseaux dans le menu déroulant pour Wifi
Sous "Modifier les connexions", j'ai remarqué que mon ordinateur portable était connecté à un réseau appelé "GFiberSetup 1802" à environ 05h30 du 4-27. Mes voisins à 1802 xx Drive avaient juste installé Google Fiber, donc je devine que c'est lié.
4-27 20:30
La commande who
a révélé qu'un deuxième utilisateur nommé guest-g20zoo était connecté à mon système. Ceci est mon ordinateur portable privé qui exécute Ubuntu, il ne devrait y avoir personne d'autre sur mon système. Paniquer, j'ai couru sudo pkill -9 -u guest-g20zoo
et désactivé le réseau et le wifi
J'ai regardé dans /var/log/auth.log
et j'ai trouvé ceci:
Apr 27 06:55:55 Rho useradd[23872]: new group: name=guest-g20zoo, GID=999
Apr 27 06:55:55 Rho useradd[23872]: new user: name=guest-g20zoo, UID=999, GID=999, home=/tmp/guest-g20zoo, shell=/bin/bash
Apr 27 06:55:55 Rho su[23881]: Successful su for guest-g20zoo by root
Apr 27 06:55:55 Rho su[23881]: + ??? root:guest-g20zoo
Apr 27 06:55:55 Rho su[23881]: pam_unix(su:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd-logind[767]: New session c3 of user guest-g20zoo.
Apr 27 06:55:56 Rho su[23881]: pam_unix(su:session): session closed for user guest-g20zoo
Apr 27 06:55:56 Rho systemd-logind[767]: Removed session c3.
Apr 27 06:55:56 Rho lightdm: pam_unix(lightdm-autologin:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session closed for user guest-g20zoo
Apr 27 06:55:56 Rho systemd-logind[767]: New session c4 of user guest-g20zoo.
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:56:51 Rho pkexec: pam_unix(polkit-1:session): session opened for user root by (uid=1000)
Apr 27 06:56:51 Rho pkexec: pam_systemd(polkit-1:session): Cannot create session: Already running in a session
Désolé, il y a beaucoup de résultats, mais cela représente l'essentiel de l'activité de guest-g20zoo dans le journal, le tout en quelques minutes.
J'ai aussi vérifié /etc/passwd
:
guest-G4J7WQ:x:120:132:Guest,,,:/tmp/guest-G4J7WQ:/bin/bash
Et /etc/shadow
:
root:!:16669:0:99999:7:::
daemon:*:16547:0:99999:7:::
.
.
.
nobody:*:16547:0:99999:7:::
rhobot:$encrypted-passwd-cut-for-length.:16918:0:99999:7:::
guest-G4J7WQ:*:16689:0:99999:7:::
.
.
Je ne comprends pas tout à fait ce que cette sortie signifie pour ma situation. Est-ce que guest-g20zoo
et guest-G4J7WQ
le même utilisateur?
lastlog
montre:
guest-G4J7WQ Never logged in
Cependant, last
affiche:
guest-g20zoo Wed Apr 27 06:55 - 20:33 (13:37)
Il semble donc qu'ils ne sont pas le même utilisateur, mais guest-g20zoo était introuvable dans la sortie de lastlog
.
Je voudrais bloquer l’accès pour l’utilisateur guest-g20zoo mais depuis (s) il n’apparaît pas dans /etc/shadow
et je suppose qu’il n’utilise pas de mot de passe pour se connecter, mais utilise ssh, passwd -l guest-g20zoo
travailler?
J'ai essayé systemctl stop sshd
, mais j'ai reçu ce message d'erreur:
Failed to stop sshd.service: Unit sshd.service not loaded
Cela signifie-t-il que la connexion à distance a déjà été désactivée sur mon système et que, par conséquent, la commande ci-dessus est redondante?
J'ai essayé de trouver plus d’informations sur ce nouvel utilisateur, comme l’adresse IP à partir de laquelle ils sont connectés, mais je n'arrive pas à trouver quoi que ce soit.
Quelques informations potentiellement pertinentes:
Actuellement, je suis connecté au réseau de mon université, et mon icône WiFi a l'air bien, je peux voir toutes mes options de réseau, et il n'y a pas de navigateurs bizarres qui apparaissent tout seuls. Cela indique-t-il que la personne qui se connecte à mon système se trouve à portée de mon routeur WiFi chez moi?
J'ai couru chkrootkit
et tout semblait très bien, mais je ne sais pas non plus comment interpréter toutes les sorties. Je ne sais pas vraiment quoi faire ici. Je veux juste être absolument sûr que cette personne (ou toute autre personne) ne pourra plus jamais accéder à mon système et je veux trouver et supprimer tous les fichiers cachés créés par eux. Merci et merci!
P.S. - J'ai déjà changé mon mot de passe et crypté mes fichiers importants alors que le WiFi et le réseau étaient désactivés.