คอมพิวเตอร์ส่วนบุคคลถูกแฮ็ค: ฉันจะบล็อกผู้ใช้นี้ไม่ให้เข้าสู่ระบบอีกครั้งได้อย่างไร ฉันจะรู้ได้อย่างไรว่าพวกเขากำลังเข้าสู่ระบบ?

ฉันมั่นใจว่า 99.9% ว่าระบบของฉันในคอมพิวเตอร์ส่วนบุคคลของฉันถูกแทรกซึม อนุญาตให้ฉันให้เหตุผลก่อนเพื่อสถานการณ์จะชัดเจน:

ไทม์ไลน์ของกิจกรรมที่น่าสงสัยและการกระทำที่ตามมาที่เกิดขึ้น:

4-26 23:00
ฉันสิ้นสุดโปรแกรมทั้งหมดและปิดแล็ปท็อปของฉัน

4-27 12:00
ฉันเปิดแล็ปท็อปหลังจากที่อยู่ในโหมด Suspend เป็นเวลาประมาณ 13 ชั่วโมง มีหลายหน้าต่างที่เปิดอยู่รวมถึง: หน้าต่าง Chrome สองชุดการตั้งค่าระบบศูนย์ซอฟต์แวร์ บนเดสก์ท็อปของฉันมีตัวติดตั้ง git (ฉันตรวจสอบแล้วยังไม่ได้ติดตั้ง)

4-27 13:00
ประวัติ Chrome แสดงการเข้าสู่ระบบอีเมลของฉันและประวัติการค้นหาอื่น ๆ ที่ฉันไม่ได้เริ่มต้น (ระหว่าง 01:00 น. ถึง 03:00 น. ในวันที่ 4-27) รวมถึง "การติดตั้ง git" มีแท็บ Digital Ocean "วิธีกำหนด bash prompt ของคุณ" เปิดในเบราว์เซอร์ของฉัน มันเปิดใหม่หลายครั้งหลังจากที่ฉันปิดมัน ฉันเข้มงวดเรื่องความปลอดภัยใน Chrome มากขึ้น

ฉันตัดการเชื่อมต่อจาก WiFi แต่เมื่อฉันเชื่อมต่อใหม่มีสัญลักษณ์ลูกศรชี้ขึ้นแทนที่จะเป็นสัญลักษณ์มาตรฐานและไม่มีรายการเครือข่ายในเมนูแบบเลื่อนลงสำหรับ Wifi
ภายใต้ 'แก้ไขการเชื่อมต่อ' ฉันสังเกตเห็นว่าแล็ปท็อปของฉันเชื่อมต่อ ไปยังเครือข่ายที่เรียกว่า "GFiberSetup 1802" ที่ ~ 05:30 ในวันที่ 4-27 เพื่อนบ้านของฉันที่ 1802 xx Drive เพิ่งติดตั้ง google fiber ดังนั้นฉันเดาว่ามันเกี่ยวข้องกัน

27/04 20:30 คำสั่งเปิดเผยว่าผู้ใช้สองชื่อแขก g20zoo ได้รับการบันทึกลงในระบบของฉัน นี่คือแล็ปท็อปส่วนตัวของฉันที่รัน Ubuntu ไม่ควรมีใครในระบบของฉัน ฉันวิ่งและปิดการใช้งานเครือข่ายและ Wifi
whosudo pkill -9 -u guest-g20zoo

ฉันค้นหา/var/log/auth.logและพบสิ่งนี้:

Apr 27 06:55:55 Rho useradd[23872]: new group: name=guest-g20zoo, GID=999  
Apr 27 06:55:55 Rho useradd[23872]: new user: name=guest-g20zoo, UID=999, GID=999, home=/tmp/guest-g20zoo, shell=/bin/bash    
Apr 27 06:55:55 Rho su[23881]: Successful su for guest-g20zoo by root  
Apr 27 06:55:55 Rho su[23881]: + ??? root:guest-g20zoo  
Apr 27 06:55:55 Rho su[23881]: pam_unix(su:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd-logind[767]: New session c3 of user guest-g20zoo.  
Apr 27 06:55:56 Rho su[23881]: pam_unix(su:session): session closed for user guest-g20zoo  
Apr 27 06:55:56 Rho systemd-logind[767]: Removed session c3.  
Apr 27 06:55:56 Rho lightdm: pam_unix(lightdm-autologin:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session closed for user guest-g20zoo  
Apr 27 06:55:56 Rho systemd-logind[767]: New session c4 of user guest-g20zoo.  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:56:51 Rho pkexec: pam_unix(polkit-1:session): session opened for user root by (uid=1000)  
Apr 27 06:56:51 Rho pkexec: pam_systemd(polkit-1:session): Cannot create session: Already running in a session

ขออภัยมันเป็นผลลัพธ์จำนวนมาก แต่นั่นเป็นจำนวนมากของกิจกรรมจาก guest-g20zoo ในบันทึกทั้งหมดภายในไม่กี่นาที

ฉันยังตรวจสอบ/etc/passwd:

guest-G4J7WQ:x:120:132:Guest,,,:/tmp/guest-G4J7WQ:/bin/bash

และ/etc/shadow:

root:!:16669:0:99999:7:::  
daemon:*:16547:0:99999:7:::  
.  
.  
.   
nobody:*:16547:0:99999:7:::  
rhobot:$6$encrypted-passwd-cut-for-length.:16918:0:99999:7:::  
guest-G4J7WQ:*:16689:0:99999:7:::  
.  
.

ฉันไม่เข้าใจว่าผลลัพธ์นี้มีความหมายต่อสถานการณ์ของฉันอย่างไร มีguest-g20zooและguest-G4J7WQใช้เหมือนกันหรือไม่

lastlog แสดงให้เห็นว่า:

guest-G4J7WQ      Never logged in

อย่างไรก็ตามการlastแสดง:

guest-g20zoo      Wed Apr 27 06:55 - 20:33 (13:37)

ดังนั้นจึงดูเหมือนว่าพวกเขาไม่ได้ใช้เหมือนกัน แต่แขก g20zoo lastlogคือไม่มีที่ไหนเลยที่จะพบในการส่งออกของ

ฉันต้องการปิดกั้นการเข้าถึงสำหรับผู้ใช้ guest-g20zoo แต่เนื่องจาก (s) เขาไม่ปรากฏใน/etc/shadowและฉันสมมติว่าไม่ได้ใช้รหัสผ่านเพื่อเข้าสู่ระบบ แต่ใช้ ssh จะใช้passwd -l guest-g20zooงานได้หรือไม่

ฉันพยายามsystemctl stop sshdแต่ได้รับข้อความแสดงข้อผิดพลาดนี้:

Failed to stop sshd.service: Unit sshd.service not loaded

สิ่งนี้หมายความว่าการเข้าสู่ระบบระยะไกลถูกปิดการใช้งานในระบบของฉันและดังนั้นคำสั่งข้างต้นซ้ำซ้อน?

ฉันพยายามค้นหาข้อมูลเพิ่มเติมเกี่ยวกับผู้ใช้ใหม่นี้เช่นที่อยู่ IP ที่พวกเขาลงชื่อเข้าใช้ แต่ดูเหมือนจะไม่พบสิ่งใด

ข้อมูลที่อาจเกี่ยวข้อง:
ปัจจุบันฉันเชื่อมต่อกับเครือข่ายของมหาวิทยาลัยและไอคอน WiFi ของฉันดูดีฉันสามารถเห็นตัวเลือกเครือข่ายทั้งหมดของฉันและไม่มีเบราว์เซอร์แปลก ๆ โผล่ขึ้นมาด้วยตนเอง สิ่งนี้บ่งชี้ว่าใครก็ตามที่เข้าสู่ระบบของฉันอยู่ในช่วงที่เราเตอร์ WiFi อยู่ที่บ้าน

ฉันวิ่งchkrootkitและทุกอย่างดูดี แต่ฉันก็ไม่รู้วิธีตีความผลลัพธ์ทั้งหมด ฉันไม่รู้จะทำอะไรที่นี่ ฉันแค่ต้องการให้แน่ใจว่าบุคคลนี้ (หรือคนอื่น ๆ สำหรับเรื่องนั้น) จะไม่สามารถเข้าถึงระบบของฉันได้อีกและฉันต้องการค้นหาและลบไฟล์ที่ซ่อนที่สร้างโดยพวกเขา กรุณาและขอบคุณ!

PS - ฉันเปลี่ยนรหัสผ่านและเข้ารหัสไฟล์สำคัญของฉันแล้วในขณะที่ WiFi และเครือข่ายถูกปิดการใช้งาน

ดูเหมือนว่ามีคนเปิดเซสชันผู้เยี่ยมชมบนแล็ปท็อปของคุณในขณะที่คุณอยู่ห่างจากห้องของคุณ ถ้าฉันเป็นคุณฉันจะถามว่านั่นอาจเป็นเพื่อน

บัญชีผู้เยี่ยมชมที่คุณเห็น/etc/passwdและ/etc/shadowไม่น่าสงสัยสำหรับฉันมันถูกสร้างขึ้นโดยระบบเมื่อมีคนเปิดเซสชันผู้เยี่ยมชม

27 เม.ย. 06:55:55 Rho su [23881]: su ประสบความสำเร็จสำหรับ guest-g20zoo โดยการรูต

บรรทัดนี้หมายถึงrootมีการเข้าถึงบัญชีแขกซึ่งอาจเป็นเรื่องปกติ แต่ควรได้รับการตรวจสอบ ฉันลอง ubuntu1404LTS แล้วและไม่เห็นพฤติกรรมนี้ คุณควรพยายามเข้าสู่ระบบด้วยเซสชั่นผู้เยี่ยมชมและ grep ของคุณauth.logเพื่อดูว่าบรรทัดนี้ปรากฏทุกครั้งที่ผู้ใช้เกสต์เข้า

หน้าต่างโครเมี่ยมที่เปิดอยู่ทั้งหมดที่คุณเห็นเมื่อเปิดแล็ปท็อปของคุณ เป็นไปได้ไหมที่คุณเห็นเดสก์ท็อปเซสชันแขก?

เช็ดฮาร์ดไดรฟ์และติดตั้งระบบปฏิบัติการใหม่อีกครั้งตั้งแต่เริ่มต้น

ในกรณีที่มีการเข้าถึงโดยไม่ได้รับอนุญาตมีความเป็นไปได้ที่ผู้โจมตีจะสามารถได้รับสิทธิ์การใช้งานรูทได้ ในกรณีนี้ auth.log ดูเหมือนจะยืนยันว่าเป็นกรณีนี้ - เว้นแต่เป็นกรณีที่คุณเป็นผู้ใช้ที่สลับ:

27 เม.ย. 06:55:55 Rho su [23881]: su ประสบความสำเร็จสำหรับ guest-g20zoo โดยการรูต

ด้วยสิทธิ์พิเศษของรูทพวกเขาอาจทำให้ระบบยุ่งเหยิงในแบบที่เป็นไปไม่ได้ที่จะแก้ไขได้โดยไม่ต้องทำการติดตั้งใหม่เช่นโดยการแก้ไขบูตสคริปต์หรือติดตั้งสคริปต์และแอพพลิเคชั่นใหม่ที่รันตอนบู๊ตเป็นต้น สิ่งเหล่านี้สามารถทำสิ่งต่าง ๆ เช่นเรียกใช้ซอฟต์แวร์เครือข่ายที่ไม่ได้รับอนุญาต (เช่นเป็นส่วนหนึ่งของบ็อตเน็ต) หรือปล่อยให้แบ็คดอร์เข้าสู่ระบบของคุณ การพยายามตรวจหาและซ่อมแซมสิ่งเหล่านี้โดยไม่ต้องติดตั้งใหม่จะทำให้คุณยุ่งเหยิงที่สุดและไม่รับประกันว่าจะกำจัดทุกสิ่งออกไป

ฉันแค่อยากจะพูดถึงว่า "แท็บเบราว์เซอร์ / หน้าต่างหลายอันเปิดอยู่, เปิด Software Center, ไฟล์ที่ดาวน์โหลดไปยังเดสก์ท็อป" ไม่สอดคล้องกับคนที่ลงชื่อเข้าใช้เครื่องของคุณผ่าน SSH ผู้บุกรุกเข้าสู่ระบบด้วย SSH จะได้รับคอนโซลข้อความซึ่งแยกจากสิ่งที่คุณเห็นบนเดสก์ท็อปของคุณอย่างสมบูรณ์ พวกเขาไม่จำเป็นต้อง google "วิธีติดตั้งคอมไพล์" จากเซสชันเดสก์ท็อปของคุณเพราะพวกเขาจะนั่งอยู่หน้าคอมพิวเตอร์ของตัวเองใช่ไหม แม้ว่าพวกเขาต้องการติดตั้ง Git (ทำไม?) พวกเขาไม่จำเป็นต้องดาวน์โหลดตัวติดตั้งเพราะ Git อยู่ในที่เก็บของ Ubuntu ทุกคนที่รู้เรื่อง Git หรือ Ubuntu รู้ดี และทำไมพวกเขาต้อง google วิธีการกำหนด bash prompt?

ฉันยังสงสัยว่า "มีแท็บ ... เปิดในเบราว์เซอร์ของฉันมันเปิดใหม่หลายครั้งหลังจากที่ฉันปิด" เป็นจริงหลายแท็บเหมือนกันเปิดดังนั้นคุณต้องปิดทีละคน

สิ่งที่ฉันพยายามจะพูดที่นี่คือรูปแบบของกิจกรรมคล้ายกับ "ลิงกับเครื่องพิมพ์ดีด"

คุณไม่ได้พูดถึงว่าคุณติดตั้งเซิร์ฟเวอร์ SSH แล้ว แต่ไม่ได้ติดตั้งตามค่าเริ่มต้น

ดังนั้นหากคุณแน่ใจอย่างแน่นอนว่าไม่มีใครสามารถเข้าถึงแล็ปท็อปของคุณโดยที่คุณไม่รู้ตัวและแล็ปท็อปของคุณมีหน้าจอสัมผัสและมันไม่ได้หยุดทำงานอย่างเหมาะสมและใช้เวลาในกระเป๋าเป้สะพายหลังของคุณ กรณีของ "โทรเข้ากระเป๋า" - สัมผัสหน้าจอแบบสุ่มรวมกับคำแนะนำการค้นหาและการแก้ไขอัตโนมัติเปิดหลายหน้าต่างและดำเนินการค้นหา google คลิกที่ลิงค์สุ่มและดาวน์โหลดไฟล์สุ่ม

เป็นเรื่องเล็ก ๆ น้อย ๆ ส่วนตัว - มันเกิดขึ้นเป็นครั้งคราวกับสมาร์ทโฟนของฉันในกระเป๋าของฉันรวมถึงการเปิดหลายแอพเปลี่ยนการตั้งค่าระบบส่งข้อความ SMS กึ่งกันและดูวิดีโอ youtube แบบสุ่ม

คุณมีเพื่อนที่ต้องการเข้าถึงแล็ปท็อปของคุณจากระยะไกล / ทางกายภาพในขณะที่คุณไป? ถ้าไม่:

เช็ด HDD ด้วย DBAN และติดตั้งระบบปฏิบัติการใหม่อีกครั้งตั้งแต่เริ่มต้น โปรดสำรองข้อมูลก่อน

บางสิ่งอาจถูกบุกรุกอย่างรุนแรงภายใน Ubuntu เอง เมื่อคุณติดตั้งใหม่:

/homeการเข้ารหัสลับ หากฮาร์ดไดรฟ์ HDD / แล็ปท็อปถูกขโมยจริงจะไม่สามารถเข้าถึงข้อมูลภายใน/homeได้

เข้ารหัส HDD การทำเช่นนี้จะป้องกันไม่ให้คนอื่น/bootไม่เข้าสู่ระบบโดยคุณจะต้องป้อนรหัสผ่านเวลาบูต (ฉันคิดว่า)

ตั้งรหัสผ่านที่คาดเดายาก หากมีคนคิดรหัสผ่าน HDD พวกเขาไม่สามารถเข้าถึง/homeหรือเข้าสู่ระบบได้

เข้ารหัส WiFi ของคุณ บางคนอาจเข้าใกล้เราเตอร์และใช้ประโยชน์จาก Wifi ที่ไม่ได้เข้ารหัสและ ssh'd ลงในแล็ปท็อปของคุณ

ปิดใช้งานบัญชีผู้เยี่ยมชม ผู้โจมตีอาจมี ssh'd ในแล็ปท็อปของคุณได้รับการเชื่อมต่อระยะไกลเข้าสู่ระบบผ่านทางผู้เยี่ยมชมและยกระดับบัญชี Guest ให้สูงขึ้นเพื่อรูท นี่เป็นสถานการณ์ที่อันตราย หากสิ่งนี้เกิดขึ้นผู้โจมตีสามารถเรียกใช้คำสั่งอันตรายนี้:

rm -rf --no-preserve-root / 

วิธีนี้จะเป็นการลบข้อมูลจำนวนมากบน HDD, ที่ขัดข้อง/homeและยิ่งกว่านั้นทำให้ Ubuntu ไม่สามารถบูตได้อย่างสมบูรณ์ คุณเพิ่งจะถูกโยนเข้าสู่การช่วยเหลือด้วงและคุณจะไม่สามารถกู้คืนจากนี้ ผู้โจมตีสามารถทำลาย/homeไดเรกทอรีได้อย่างสมบูรณ์และอื่น ๆ หากคุณมีเครือข่ายในบ้านผู้โจมตีสามารถใช้คอมพิวเตอร์เครื่องอื่น ๆ ในเครือข่ายนั้นไม่สามารถบู๊ตได้ (หากพวกเขาใช้ Linux)

ฉันหวังว่านี่จะช่วยได้. :)

กิจกรรม "น่าสงสัย" ถูกอธิบายโดยต่อไปนี้: แล็ปท็อปของฉันไม่หยุดทำงานอีกต่อไปเมื่อปิดฝาแล็ปท็อปเป็นหน้าจอสัมผัสและตอบสนองต่อแรงกดที่ใช้ (อาจเป็นแมวของฉัน) บรรทัดที่ระบุจาก/var/log/auth.logและเอาต์พุตของwhoคำสั่งสอดคล้องกับการล็อกอินเซสชันเกสต์ ขณะที่ฉันปิดใช้งานการลงชื่อเข้าใช้เซสชันผู้เยี่ยมชมจาก greeter มันยังคงสามารถเข้าถึงได้จากเมนูแบบเลื่อนลงที่มุมบนขวาใน Unity DE ดังนั้นเซสชั่นแขกสามารถเปิดได้ในขณะที่ฉันเข้าสู่ระบบ

ฉันได้ทดสอบทฤษฎี "ความดันประยุกต์"; หน้าต่างสามารถเปิดได้ขณะปิดฝา ฉันยังเข้าสู่เซสชันแขกใหม่ บันทึกการใช้งานเหมือนกับสิ่งที่ฉันเห็นว่าเป็นกิจกรรมที่น่าสงสัย/var/log/auth.logหลังจากฉันทำสิ่งนี้ ฉันเปลี่ยนผู้ใช้กลับไปที่บัญชีของฉันและเรียกใช้whoคำสั่ง - ผลลัพธ์ที่ระบุว่ามีแขกลงชื่อเข้าใช้ระบบ

โลโก้ลูกศรชี้ขึ้น WiFi ได้เปลี่ยนกลับเป็นโลโก้ WiFi มาตรฐานและการเชื่อมต่อที่มีอยู่ทั้งหมดจะมองเห็นได้ นี่เป็นปัญหากับเครือข่ายของเราและไม่เกี่ยวข้อง

ดึงการ์ดไร้สาย / ติดออกและมองดูร่องรอย สร้างบันทึกของคุณเพื่อให้ askbuntu สามารถช่วยเหลือเพิ่มเติมได้ หลังจากนั้นล้างไดรฟ์ของคุณและลองใช้ distro อื่นลองใช้ซีดีแบบสดปล่อยให้มันทำงานเพื่อดูว่ามีรูปแบบการโจมตีหรือไม่