ฉันมั่นใจว่า 99.9% ว่าระบบของฉันในคอมพิวเตอร์ส่วนบุคคลของฉันถูกแทรกซึม อนุญาตให้ฉันให้เหตุผลก่อนเพื่อสถานการณ์จะชัดเจน:
ไทม์ไลน์ของกิจกรรมที่น่าสงสัยและการกระทำที่ตามมาที่เกิดขึ้น:
4-26 23:00
ฉันสิ้นสุดโปรแกรมทั้งหมดและปิดแล็ปท็อปของฉัน
4-27 12:00
ฉันเปิดแล็ปท็อปหลังจากที่อยู่ในโหมด Suspend เป็นเวลาประมาณ 13 ชั่วโมง มีหลายหน้าต่างที่เปิดอยู่รวมถึง: หน้าต่าง Chrome สองชุดการตั้งค่าระบบศูนย์ซอฟต์แวร์ บนเดสก์ท็อปของฉันมีตัวติดตั้ง git (ฉันตรวจสอบแล้วยังไม่ได้ติดตั้ง)
4-27 13:00
ประวัติ Chrome แสดงการเข้าสู่ระบบอีเมลของฉันและประวัติการค้นหาอื่น ๆ ที่ฉันไม่ได้เริ่มต้น (ระหว่าง 01:00 น. ถึง 03:00 น. ในวันที่ 4-27) รวมถึง "การติดตั้ง git" มีแท็บ Digital Ocean "วิธีกำหนด bash prompt ของคุณ" เปิดในเบราว์เซอร์ของฉัน มันเปิดใหม่หลายครั้งหลังจากที่ฉันปิดมัน ฉันเข้มงวดเรื่องความปลอดภัยใน Chrome มากขึ้น
ฉันตัดการเชื่อมต่อจาก WiFi แต่เมื่อฉันเชื่อมต่อใหม่มีสัญลักษณ์ลูกศรชี้ขึ้นแทนที่จะเป็นสัญลักษณ์มาตรฐานและไม่มีรายการเครือข่ายในเมนูแบบเลื่อนลงสำหรับ Wifi
ภายใต้ 'แก้ไขการเชื่อมต่อ' ฉันสังเกตเห็นว่าแล็ปท็อปของฉันเชื่อมต่อ ไปยังเครือข่ายที่เรียกว่า "GFiberSetup 1802" ที่ ~ 05:30 ในวันที่ 4-27 เพื่อนบ้านของฉันที่ 1802 xx Drive เพิ่งติดตั้ง google fiber ดังนั้นฉันเดาว่ามันเกี่ยวข้องกัน
27/04 20:30 คำสั่งเปิดเผยว่าผู้ใช้สองชื่อแขก g20zoo ได้รับการบันทึกลงในระบบของฉัน นี่คือแล็ปท็อปส่วนตัวของฉันที่รัน Ubuntu ไม่ควรมีใครในระบบของฉัน ฉันวิ่งและปิดการใช้งานเครือข่ายและ Wifiwho
sudo pkill -9 -u guest-g20zoo
ฉันค้นหา/var/log/auth.log
และพบสิ่งนี้:
Apr 27 06:55:55 Rho useradd[23872]: new group: name=guest-g20zoo, GID=999
Apr 27 06:55:55 Rho useradd[23872]: new user: name=guest-g20zoo, UID=999, GID=999, home=/tmp/guest-g20zoo, shell=/bin/bash
Apr 27 06:55:55 Rho su[23881]: Successful su for guest-g20zoo by root
Apr 27 06:55:55 Rho su[23881]: + ??? root:guest-g20zoo
Apr 27 06:55:55 Rho su[23881]: pam_unix(su:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd-logind[767]: New session c3 of user guest-g20zoo.
Apr 27 06:55:56 Rho su[23881]: pam_unix(su:session): session closed for user guest-g20zoo
Apr 27 06:55:56 Rho systemd-logind[767]: Removed session c3.
Apr 27 06:55:56 Rho lightdm: pam_unix(lightdm-autologin:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session closed for user guest-g20zoo
Apr 27 06:55:56 Rho systemd-logind[767]: New session c4 of user guest-g20zoo.
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:56:51 Rho pkexec: pam_unix(polkit-1:session): session opened for user root by (uid=1000)
Apr 27 06:56:51 Rho pkexec: pam_systemd(polkit-1:session): Cannot create session: Already running in a session
ขออภัยมันเป็นผลลัพธ์จำนวนมาก แต่นั่นเป็นจำนวนมากของกิจกรรมจาก guest-g20zoo ในบันทึกทั้งหมดภายในไม่กี่นาที
ฉันยังตรวจสอบ/etc/passwd
:
guest-G4J7WQ:x:120:132:Guest,,,:/tmp/guest-G4J7WQ:/bin/bash
และ/etc/shadow
:
root:!:16669:0:99999:7:::
daemon:*:16547:0:99999:7:::
.
.
.
nobody:*:16547:0:99999:7:::
rhobot:$6$encrypted-passwd-cut-for-length.:16918:0:99999:7:::
guest-G4J7WQ:*:16689:0:99999:7:::
.
.
ฉันไม่เข้าใจว่าผลลัพธ์นี้มีความหมายต่อสถานการณ์ของฉันอย่างไร มีguest-g20zoo
และguest-G4J7WQ
ใช้เหมือนกันหรือไม่
lastlog
แสดงให้เห็นว่า:
guest-G4J7WQ Never logged in
อย่างไรก็ตามการlast
แสดง:
guest-g20zoo Wed Apr 27 06:55 - 20:33 (13:37)
ดังนั้นจึงดูเหมือนว่าพวกเขาไม่ได้ใช้เหมือนกัน แต่แขก g20zoo lastlog
คือไม่มีที่ไหนเลยที่จะพบในการส่งออกของ
ฉันต้องการปิดกั้นการเข้าถึงสำหรับผู้ใช้ guest-g20zoo แต่เนื่องจาก (s) เขาไม่ปรากฏใน/etc/shadow
และฉันสมมติว่าไม่ได้ใช้รหัสผ่านเพื่อเข้าสู่ระบบ แต่ใช้ ssh จะใช้passwd -l guest-g20zoo
งานได้หรือไม่
ฉันพยายามsystemctl stop sshd
แต่ได้รับข้อความแสดงข้อผิดพลาดนี้:
Failed to stop sshd.service: Unit sshd.service not loaded
สิ่งนี้หมายความว่าการเข้าสู่ระบบระยะไกลถูกปิดการใช้งานในระบบของฉันและดังนั้นคำสั่งข้างต้นซ้ำซ้อน?
ฉันพยายามค้นหาข้อมูลเพิ่มเติมเกี่ยวกับผู้ใช้ใหม่นี้เช่นที่อยู่ IP ที่พวกเขาลงชื่อเข้าใช้ แต่ดูเหมือนจะไม่พบสิ่งใด
ข้อมูลที่อาจเกี่ยวข้อง:
ปัจจุบันฉันเชื่อมต่อกับเครือข่ายของมหาวิทยาลัยและไอคอน WiFi ของฉันดูดีฉันสามารถเห็นตัวเลือกเครือข่ายทั้งหมดของฉันและไม่มีเบราว์เซอร์แปลก ๆ โผล่ขึ้นมาด้วยตนเอง สิ่งนี้บ่งชี้ว่าใครก็ตามที่เข้าสู่ระบบของฉันอยู่ในช่วงที่เราเตอร์ WiFi อยู่ที่บ้าน
ฉันวิ่งchkrootkit
และทุกอย่างดูดี แต่ฉันก็ไม่รู้วิธีตีความผลลัพธ์ทั้งหมด ฉันไม่รู้จะทำอะไรที่นี่ ฉันแค่ต้องการให้แน่ใจว่าบุคคลนี้ (หรือคนอื่น ๆ สำหรับเรื่องนั้น) จะไม่สามารถเข้าถึงระบบของฉันได้อีกและฉันต้องการค้นหาและลบไฟล์ที่ซ่อนที่สร้างโดยพวกเขา กรุณาและขอบคุณ!
PS - ฉันเปลี่ยนรหัสผ่านและเข้ารหัสไฟล์สำคัญของฉันแล้วในขณะที่ WiFi และเครือข่ายถูกปิดการใช้งาน
sshd
หลังจากชื่อเซิร์ฟเวอร์ แต่ฉันยอมรับว่าการลบข้อมูลนั้น แต่ยังคงทิ้งร่องรอยของตัวเองเป็นคี่ มีวิธีอื่นในการตรวจสอบร่องรอยที่มีคนของฉันได้เข้าสู่ระบบของฉันหรือไม่
sshd
หลังจากชื่อเซิร์ฟเวอร์หรือไม่ ถ้าไม่เช่นนั้นจะไม่มีการเข้าถึงเอสเอสเอสแน่นอนเว้นแต่ว่าพวกเขาจะทำความสะอาดส่วนของบันทึกนั้นและไม่ต้องไปทำความสะอาดรายการอื่นซึ่งจะแปลก