PC gehackt: Wie kann ich diesen Benutzer daran hindern, sich erneut anzumelden? Wie finde ich heraus, wie sie sich anmelden?

25

Ich bin zu 99,9% sicher, dass mein System auf meinem PC infiltriert wurde. Gestatten Sie mir, zunächst meine Überlegungen anzustellen, damit die Situation klar wird:

Grobe Zeitleiste verdächtiger Aktivitäten und nachfolgender Maßnahmen:

4-26 23:00
Ich beendete alle Programme und schloss meinen Laptop.

4-27 12:00
Ich habe meinen Laptop geöffnet, nachdem er sich ungefähr 13 Stunden lang im Suspend-Modus befunden hatte. Mehrere Fenster waren geöffnet, darunter: Zwei Chromfenster, Systemeinstellungen, Software-Center. Auf meinem Desktop gab es ein Git-Installationsprogramm (ich habe es überprüft, es wurde nicht installiert).

4-27 13:00 Im
Chrome-Verlauf wurden Anmeldungen für meine E-Mail- Adresse und andere von mir nicht eingeleitete Suchprotokolle (zwischen 01:00 und 03:00 Uhr, 4-27 Uhr) angezeigt, einschließlich "Installation von Git". In meinem Browser wurde die Registerkarte "So passen Sie Ihre Bash-Eingabeaufforderung an" von Digital Ocean geöffnet. Es öffnete sich mehrmals, nachdem ich es geschlossen hatte. Ich habe die Sicherheit in Chrome verschärft.

Ich habe die WLAN-Verbindung getrennt, aber als ich die Verbindung wieder herstellte, wurde anstelle des Standardsymbols ein Aufwärts- / Abwärtspfeil angezeigt. Außerdem wurde im Dropdown-Menü für WLAN
unter "Verbindungen bearbeiten" keine Netzwerkliste mehr angezeigt, bei der festgestellt wurde, dass mein Laptop eine Verbindung hergestellt hat zu einem Netzwerk namens "GFiberSetup 1802" um ~ 05: 30 am 4-27. Meine Nachbarn von 1802 xx Drive hatten gerade Google Fibre installiert. Ich schätze, es hängt damit zusammen.

4-27 20:30
Der whoBefehl ergab, dass ein zweiter Benutzer mit dem Namen guest-g20zoo bei meinem System angemeldet war. Dies ist mein privater Laptop, auf dem Ubuntu läuft. Es sollte niemanden auf meinem System geben. In Panik lief ich sudo pkill -9 -u guest-g20zoound deaktivierte Netzwerk und Wifi

Ich habe reingeschaut /var/log/auth.logund folgendes gefunden:

Apr 27 06:55:55 Rho useradd[23872]: new group: name=guest-g20zoo, GID=999  
Apr 27 06:55:55 Rho useradd[23872]: new user: name=guest-g20zoo, UID=999, GID=999, home=/tmp/guest-g20zoo, shell=/bin/bash    
Apr 27 06:55:55 Rho su[23881]: Successful su for guest-g20zoo by root  
Apr 27 06:55:55 Rho su[23881]: + ??? root:guest-g20zoo  
Apr 27 06:55:55 Rho su[23881]: pam_unix(su:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd-logind[767]: New session c3 of user guest-g20zoo.  
Apr 27 06:55:56 Rho su[23881]: pam_unix(su:session): session closed for user guest-g20zoo  
Apr 27 06:55:56 Rho systemd-logind[767]: Removed session c3.  
Apr 27 06:55:56 Rho lightdm: pam_unix(lightdm-autologin:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session closed for user guest-g20zoo  
Apr 27 06:55:56 Rho systemd-logind[767]: New session c4 of user guest-g20zoo.  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:56:51 Rho pkexec: pam_unix(polkit-1:session): session opened for user root by (uid=1000)  
Apr 27 06:56:51 Rho pkexec: pam_systemd(polkit-1:session): Cannot create session: Already running in a session

Es tut uns leid, es ist eine Menge Ausgabe, aber das ist der Hauptteil der Aktivität von guest-g20zoo im Protokoll, und das alles innerhalb weniger Minuten.

Ich habe auch überprüft /etc/passwd:

guest-G4J7WQ:x:120:132:Guest,,,:/tmp/guest-G4J7WQ:/bin/bash

Und /etc/shadow:

root:!:16669:0:99999:7:::  
daemon:*:16547:0:99999:7:::  
.  
.  
.   
nobody:*:16547:0:99999:7:::  
rhobot:$6$encrypted-passwd-cut-for-length.:16918:0:99999:7:::  
guest-G4J7WQ:*:16689:0:99999:7:::  
.  
.

Ich verstehe nicht ganz, was diese Ausgabe für meine Situation bedeutet. Sind guest-g20zoound guest-G4J7WQder gleiche Benutzer?

lastlog zeigt an:

guest-G4J7WQ      Never logged in

Allerdings lastzeigt:

guest-g20zoo      Wed Apr 27 06:55 - 20:33 (13:37)

Es sieht also so aus, als wären sie nicht derselbe Benutzer, aber guest-g20zoo war in der Ausgabe von nirgendwo zu finden lastlog.

Ich möchte den Zugriff für den Benutzer guest-g20zoo sperren, aber da er nicht in angezeigt wird /etc/shadowund ich nehme an, dass er kein Kennwort zum Anmelden verwendet, aber ssh verwendet, passwd -l guest-g20zoofunktioniert dies?

Ich habe versucht systemctl stop sshd, aber diese Fehlermeldung erhalten:

Failed to stop sshd.service: Unit sshd.service not loaded

Bedeutet dies, dass die Remote-Anmeldung auf meinem System bereits deaktiviert war und der obige Befehl daher redundant ist?

Ich habe versucht, mehr Informationen über diesen neuen Benutzer zu finden, beispielsweise über welche IP-Adresse er sich angemeldet hat, aber ich kann anscheinend nichts finden.

Einige potenziell relevante Informationen:
Derzeit bin ich mit dem Netzwerk meiner Universität verbunden und mein WLAN-Symbol sieht gut aus. Ich kann alle Netzwerkoptionen anzeigen und es werden keine seltsamen Browser angezeigt. Bedeutet dies, dass sich jeder, der sich bei meinem System anmeldet, in Reichweite meines WLAN-Routers bei mir zu Hause befindet?

Ich bin gelaufen chkrootkitund alles schien in Ordnung zu sein, aber ich weiß auch nicht, wie ich die gesamte Ausgabe interpretieren soll. Ich weiß nicht wirklich, was ich hier machen soll. Ich möchte nur absolut sicher sein, dass diese Person (oder sonst jemand) nie wieder auf mein System zugreifen kann, und ich möchte alle versteckten Dateien finden und entfernen, die von ihr erstellt wurden. Bitte und Dankeschön!

PS - Ich habe mein Passwort bereits geändert und meine wichtigen Dateien verschlüsselt, während WLAN und Netzwerk deaktiviert waren.

Rosemary S
quelle
Gibt es Einträge im Authentifizierungsprotokoll, die sshdnach dem Servernamen stehen? Wenn nicht, dann gab es definitiv keinen SSH-Zugriff. Es sei denn, sie haben diesen Teil des Protokolls bereinigt und sich nicht die Mühe gemacht, die anderen Einträge zu bereinigen, was seltsam wäre.
Arronical
17
Nuke es aus dem Orbit !
Boris die Spinne
1
und ändern Sie dann alle Ihre Passwörter
njzk2
@Arronical Es gibt keine Einträge sshdnach dem Servernamen, aber ich bin damit einverstanden, dass es seltsam ist, diese Informationen zu entfernen, aber dennoch Spuren von sich selbst zu hinterlassen. Gibt es eine andere Möglichkeit, nach einer Spur zu suchen, die jemand in mein System eingelesen hat?
Rosemary S
1
Wenn Sie eine Lösung haben, senden Sie diese bitte als Antwort und markieren Sie sie als akzeptiert.
muru

Antworten:

26

Es sieht so aus, als hätte jemand eine Gastsitzung auf Ihrem Laptop eröffnet, während Sie nicht in Ihrem Zimmer waren. Wenn ich Sie wäre, würde ich mich erkundigen, das könnte ein Freund sein.

Die Gastkonten, die Sie in sehen /etc/passwdund /etc/shadowdie mir nicht verdächtig sind, werden vom System erstellt, wenn jemand eine Gastsitzung öffnet.

27. April, 06:55:55 Uhr Rho su [23881]: Erfolgreiche su für guest-g20zoo von root

Diese Leitung roothat Zugriff auf das Gastkonto, was normal sein könnte, aber untersucht werden sollte. Ich habe mein ubuntu1404LTS ausprobiert und sehe dieses Verhalten nicht. Sie sollten versuchen, sich mit einer auth.logGastsitzung anzumelden und nachsehen, ob diese Zeile jedes Mal angezeigt wird, wenn sich ein Gastbenutzer anmeldet.

Alle geöffneten Chromfenster, die Sie gesehen haben, als Sie Ihren Laptop geöffnet haben. Ist es möglich, dass Sie den Desktop der Gastsitzung gesehen haben?

Daniel
quelle
Dies ist die einzige vernünftige, informierte und unkomplizierte Antwort.
Rohr
Die einzige andere Person, die Zugang zu meinem Laptop hat, ist mein Ehemann. Ich lasse ihn niemals unbeaufsichtigt in der Schule oder in der Öffentlichkeit. Außerdem habe ich die lightdm.conf.dDatei vor einiger Zeit so geändert, dass die Anmeldung bei einer Gastsitzung nicht mehr zulässig ist. Ich glaube, ich habe den Desktop der Gastsitzung gesehen. Ich habe jedoch festgestellt, dass mein Laptop nicht mehr hängt, wenn sich der Deckel schließt, und es ist ein Touchscreen. Kann es also sein, dass Fenster auf meinem Desktop (keine Tabs in Chrom) geöffnet werden, wenn Bereiche des Bildschirms gedrückt werden, während dieser geschlossen ist? Ich versuche nur herauszufinden, was hier ist.
Rosemary S
1
Mehrere Fenster, die nach dem Aufwachen aus dem Standby-Modus geöffnet werden, sind [Gelöst]. Mein Laptop hängt sich beim Schließen des Deckels nicht mehr auf, es ist ein Touchscreen. Es wird in meinem Rucksack herumgeschoben und ich habe meine Katzen zu Hause dabei erwischt, wie sie darauf liefen. Ich habe meine Theorie getestet, Fenster wurden aufgrund dieses Problems geöffnet. Ich habe den Desktop der Gastsitzung nicht gesehen.
Rosemary S
33

Wischen Sie die Festplatte und installieren Sie Ihr Betriebssystem neu.

Bei nicht autorisiertem Zugriff besteht die Möglichkeit, dass der Angreifer Root-Rechte erhalten konnte. Daher ist es sinnvoll anzunehmen, dass dies geschehen ist. In diesem Fall scheint auth.log zu bestätigen, dass dies tatsächlich der Fall war - es sei denn, Sie haben den Benutzer gewechselt:

27. April, 06:55:55 Uhr Rho su [23881]: Erfolgreiche su für guest-g20zoo von root

Insbesondere mit Root-Rechten haben sie möglicherweise Probleme mit dem System, die sich ohne eine Neuinstallation praktisch nicht beheben lassen, z. B. durch Ändern von Boot-Skripten oder Installieren neuer Skripten und Anwendungen, die beim Booten ausgeführt werden. Diese können beispielsweise nicht autorisierte Netzwerksoftware ausführen (z. B. um Teil eines Botnetzes zu sein) oder Hintertüren in Ihrem System hinterlassen. Der Versuch, solche Dinge ohne Neuinstallation zu erkennen und zu reparieren, ist im besten Fall chaotisch und kann Sie garantiert nicht von allem befreien.

thomasrutter
quelle
6
Auch dies funktioniert nicht, wenn Malware auf der Hardware installiert ist, z. B. wenn die Firmware der Festplatte geflasht wurde.
John Dvorak
7
Diese Protokollzeile, die Sie zitieren, bedeutet, dass der rootBenutzer zu gewechselt hat guest-g20zoo, nicht umgekehrt.
Dmitry Grigoryev
4
@JanDvorak Haben Sie ein Beispiel für eine Festplattenfirmware, die als Linux-Backdoor fungiert?
Dmitry Grigoryev
1
Ich würde zustimmen müssen, wenn Sie sich über die Zuverlässigkeit Ihres Betriebssystems nicht sicher sind und befürchten, dass Sie etwas verpassen könnten, sichern Sie einfach Ihre Daten und installieren Sie das Betriebssystem neu. Ich persönlich würde die Festplatte wechseln, aber nur, um Informationen abzurufen
Schalten
9
@DmitryGrigoryev aber , wenn sie können suauf ein anderes Konto von der Wurzel, das heißt sie sind Wurzel.
Léo Lam
3

Ich möchte nur erwähnen, dass "mehrere Browser-Registerkarten / -Fenster geöffnet, Software Center geöffnet, Dateien auf den Desktop heruntergeladen" nicht sehr konsistent ist mit der Tatsache, dass sich jemand über SSH bei Ihrem Computer anmeldet. Ein Angreifer, der sich über SSH anmeldet, erhält eine Textkonsole, die sich vollständig von dem unterscheidet, was Sie auf Ihrem Desktop sehen. Sie müssten auch nicht in Ihrer Desktopsitzung googeln, um zu erfahren, wie man Git installiert, weil sie vor ihrem eigenen Computer sitzen würden, oder? Selbst wenn sie Git installieren wollten (warum?), Mussten sie kein Installationsprogramm herunterladen, da sich Git in Ubuntu-Repositorys befindet. Jeder, der etwas über Git oder Ubuntu weiß, weiß das. Und warum mussten sie googeln, um die Bash-Eingabeaufforderung anzupassen?

Ich vermute auch, dass "Es gab einen Tab ... geöffnet in meinem Browser. Es wurde mehrmals wieder geöffnet, nachdem ich es geschlossen habe" tatsächlich mehrere identische Tabs geöffnet waren, so dass Sie sie nacheinander schließen mussten.

Ich versuche hier zu sagen, dass das Aktivitätsmuster einem "Affen mit einer Schreibmaschine" ähnelt.

Sie haben auch nicht erwähnt, dass Sie sogar einen SSH-Server installiert haben - er ist nicht standardmäßig installiert.

Wenn Sie also absolut sicher sind, dass niemand ohne Ihr Wissen physisch auf Ihren Laptop zugreifen konnte und Ihr Laptop über einen Touchscreen verfügt, der nicht ordnungsgemäß inaktiviert ist und einige Zeit in Ihrem Rucksack verbracht hat, kann dies meines Erachtens nur ein Problem sein Fall von "Pocket Calling" - zufällige Bildschirmberührungen, kombiniert mit Suchvorschlägen und automatischer Korrektur, öffneten mehrere Fenster und führten eine Google-Suche durch, indem sie auf zufällige Links klickten und zufällige Dateien herunterluden.

Als persönliche Anekdote - es passiert von Zeit zu Zeit mit meinem Smartphone in der Tasche, einschließlich des Öffnens mehrerer Apps, des Änderns der Systemeinstellungen, des Versendens von halbkohärenten SMS-Nachrichten und des Betrachtens zufälliger YouTube-Videos.

Sergey
quelle
... oder in meinem Fall ... alle Texte von einem Freund löschen ...
andy256
2

Haben Sie Freunde, die während Ihrer Abwesenheit aus der Ferne / physisch auf Ihren Laptop zugreifen möchten? Wenn nicht:

Wischen Sie die Festplatte mit DBAN und installieren Sie das Betriebssystem neu. Stellen Sie sicher, dass Sie zuerst eine Sicherungskopie erstellen.

Möglicherweise wurde in Ubuntu selbst eine schwerwiegende Beeinträchtigung festgestellt. Wenn Sie neu installieren:

Verschlüsseln /home. Wenn die Festplatte / der Laptop selbst jemals gestohlen wird, können sie nicht auf die darin enthaltenen Daten zugreifen /home.

Verschlüsseln Sie die Festplatte. Dies verhindert, dass /bootBenutzer ohne Anmeldung Kompromisse eingehen. Sie müssen auch ein Startkennwort eingeben (glaube ich).

Richten Sie ein sicheres Passwort ein. Wenn jemand das Festplattenkennwort herausfindet, kann er nicht darauf zugreifen /homeoder sich anmelden.

Verschlüsseln Sie Ihr WiFi. Möglicherweise ist jemand in die Nähe des Routers geraten und hat unverschlüsseltes WLAN und SSH in Ihren Laptop eingespeist.

Deaktivieren Sie das Gastkonto. Möglicherweise hat der Angreifer auf Ihren Laptop zugegriffen, eine Remoteverbindung hergestellt, sich über Guest angemeldet und das Guest-Konto auf root erhöht. Dies ist eine gefährliche Situation. In diesem Fall könnte der Angreifer den folgenden SEHR GEFÄHRLICHEN Befehl ausführen :

rm -rf --no-preserve-root / 

Dies löscht VIEL von Daten auf der Festplatte, trashes /home, und noch schlimmer, Blätter Ubuntu völlig unfähig sogar Boot. Sie werden nur in die Madenrettung geworfen, und Sie werden nicht in der Lage sein, sich davon zu erholen. Der Angreifer könnte auch das /homeVerzeichnis vollständig zerstören und so weiter. Wenn Sie ein Heimnetzwerk haben, kann der Angreifer auch alle anderen Computer in diesem Netzwerk nicht starten (wenn sie Linux ausführen).

Ich hoffe das hilft. :)

TheComputerGeek010101001
quelle
1
Warum DBAN? Die Neuerstellung der Partitionstabelle sollte völlig ausreichen, ganz zu schweigen davon, dass DBAN eine SSD schwer verletzen würde, wenn OP eine hat.
Gronostaj
Warum sollte ein Hacker rennen rm -rf /? Er wird alle Ihre Daten abrufen. Das Löschen von Daten macht keinen Sinn.
LittleByBlue
btw. NIEMALS laufen rm -rf /könnte es Ziegel Ihre komplette Maschine, als alte Linux - Versionen (älter als 4.5) nicht die UEFI schützen und Sie würden es beschädigt werden , wenn Sie ein paar Dateien aus entfernen möchte /sys/firmware/efi/efivars/.
LittleByBlue
1

Die "verdächtige" Aktivität wird durch Folgendes erklärt: Mein Laptop hängt nicht mehr, wenn der Deckel geschlossen ist, der Laptop ist ein Touchscreen und reagiert auf Druck (möglicherweise meine Katzen). Die angegebenen Zeilen von /var/log/auth.logund die Ausgabe des whoBefehls stimmen mit einem Gastsitzungs-Login überein. Während ich die Anmeldung für die Gastsitzung über den Begrüßer deaktiviert habe, ist sie weiterhin über das Dropdown-Menü in der oberen rechten Ecke von Unity DE verfügbar. Ergo kann eine Gastsitzung eröffnet werden, während ich eingeloggt bin.

Ich habe die Theorie des "angewandten Drucks" getestet. Fenster können und tun sich öffnen, während der Deckel geschlossen ist. Ich habe mich auch bei einer neuen Gastsitzung angemeldet. Danach waren Protokollzeilen vorhanden, die mit denen identisch waren, die ich als verdächtig empfand /var/log/auth.log. Ich habe die Benutzer zurück zu meinem Konto gewechselt und den whoBefehl ausgeführt - die Ausgabe zeigte an, dass ein Gast im System angemeldet war.

Das WLAN-Logo mit dem Pfeil nach oben und nach unten wurde auf das Standard-WLAN-Logo zurückgesetzt, und alle verfügbaren Verbindungen sind sichtbar. Dies war ein Problem mit unserem Netzwerk und hat nichts damit zu tun.

Rosemary S
quelle
-1

Ziehen Sie die Funkkarte / den Funkstick heraus und sehen Sie sich die Spuren an. Machen Sie eine Aufzeichnung Ihrer Protokolle, damit askbuntu Ihnen weiterhelfen kann. Wischen Sie danach Ihre Laufwerke ab und versuchen Sie es mit einer anderen Distribution. Lassen Sie eine Live-CD laufen, um festzustellen, ob die Angriffe ein Muster haben.

Jim
quelle
3
Warum sollte er sich die WLAN-Kartenspuren ansehen wollen ...?
Keith M
4
Warum sollte er überhaupt seine WLAN-Karte herausziehen
Keith M
1
@KeithM hast du schon mal die WLAN Karte eines Laptops gezogen? Dieser Laptop wird nie wieder infiziert werden ....
;-) Achten