Komputer pribadi diretas: Bagaimana cara saya memblokir pengguna ini untuk masuk lagi? Bagaimana saya mengetahui bagaimana mereka masuk?

25

Saya 99,9% yakin bahwa sistem saya di komputer pribadi saya telah disusupi. Izinkan saya untuk memberikan alasan saya terlebih dahulu sehingga situasinya akan menjadi jelas:

Garis waktu kasar dari aktivitas mencurigakan dan tindakan selanjutnya yang diambil:

4-26 23:00
Saya mengakhiri semua program dan menutup laptop saya.

4-27 12:00
Saya membuka laptop saya setelah dalam mode menangguhkan selama sekitar 13 jam. Beberapa jendela terbuka termasuk: Dua jendela chrome, pengaturan sistem, pusat perangkat lunak. Di desktop saya ada installer git (saya memeriksa, itu belum diinstal).

4-27 13:00
Riwayat Chrome menampilkan info masuk ke email saya, dan riwayat pencarian lain yang tidak saya mulai (antara 01:00 dan 03:00 pada 4-27), termasuk "menginstal git". Ada tab, Digital Ocean "Cara menyesuaikan bash prompt" terbuka di browser saya. Dibuka kembali beberapa kali setelah saya menutupnya. Saya memperketat keamanan di Chrome.

Saya terputus dari WiFi, tetapi ketika saya menghubungkan kembali ada simbol panah atas bukan simbol standar, dan tidak ada lagi daftar jaringan di menu drop down untuk Wifi
Di bawah 'Edit Koneksi' Saya perhatikan laptop saya telah terhubung ke jaringan yang disebut "GFiberSetup 1802" pada ~ 05:30 pada 4-27. Tetangga saya di 1802 xx Drive baru saja menginstal google fiber, jadi saya kira itu terkait.

4-27 20:30
The whoperintah mengungkapkan bahwa pengguna kedua bernama tamu-g20zoo itu login ke sistem saya. Ini laptop pribadi saya yang menjalankan Ubuntu, seharusnya tidak ada orang lain di sistem saya. Karena panik, saya berlari sudo pkill -9 -u guest-g20zoodan menonaktifkan Networking dan Wifi

Saya mencari /var/log/auth.logdan menemukan ini:

Apr 27 06:55:55 Rho useradd[23872]: new group: name=guest-g20zoo, GID=999  
Apr 27 06:55:55 Rho useradd[23872]: new user: name=guest-g20zoo, UID=999, GID=999, home=/tmp/guest-g20zoo, shell=/bin/bash    
Apr 27 06:55:55 Rho su[23881]: Successful su for guest-g20zoo by root  
Apr 27 06:55:55 Rho su[23881]: + ??? root:guest-g20zoo  
Apr 27 06:55:55 Rho su[23881]: pam_unix(su:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd-logind[767]: New session c3 of user guest-g20zoo.  
Apr 27 06:55:56 Rho su[23881]: pam_unix(su:session): session closed for user guest-g20zoo  
Apr 27 06:55:56 Rho systemd-logind[767]: Removed session c3.  
Apr 27 06:55:56 Rho lightdm: pam_unix(lightdm-autologin:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session closed for user guest-g20zoo  
Apr 27 06:55:56 Rho systemd-logind[767]: New session c4 of user guest-g20zoo.  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:56:51 Rho pkexec: pam_unix(polkit-1:session): session opened for user root by (uid=1000)  
Apr 27 06:56:51 Rho pkexec: pam_systemd(polkit-1:session): Cannot create session: Already running in a session

Maaf, ini banyak hasil, tapi itulah sebagian besar aktivitas dari guest-g20zoo di log, semua dalam beberapa menit.

Saya juga memeriksa /etc/passwd:

guest-G4J7WQ:x:120:132:Guest,,,:/tmp/guest-G4J7WQ:/bin/bash

Dan /etc/shadow:

root:!:16669:0:99999:7:::  
daemon:*:16547:0:99999:7:::  
.  
.  
.   
nobody:*:16547:0:99999:7:::  
rhobot:$6$encrypted-passwd-cut-for-length.:16918:0:99999:7:::  
guest-G4J7WQ:*:16689:0:99999:7:::  
.  
.

Saya tidak sepenuhnya mengerti apa arti output ini untuk situasi saya. Apakah guest-g20zoodan guest-G4J7WQpengguna yang sama?

lastlog menunjukkan:

guest-G4J7WQ      Never logged in

Namun, lastmenunjukkan:

guest-g20zoo      Wed Apr 27 06:55 - 20:33 (13:37)

Jadi sepertinya mereka bukan pengguna yang sama, tetapi guest-g20zoo tidak ditemukan di output lastlog.

Saya ingin memblokir akses untuk pengguna guest-g20zoo tetapi karena dia tidak muncul /etc/shadowdan saya berasumsi tidak menggunakan kata sandi untuk masuk, tetapi menggunakan ssh, apakah akan passwd -l guest-g20zooberfungsi?

Saya mencoba systemctl stop sshd, tetapi mendapat pesan kesalahan ini:

Failed to stop sshd.service: Unit sshd.service not loaded

Apakah ini berarti login jarak jauh sudah dinonaktifkan pada sistem saya, dan oleh karena itu perintah di atas berlebihan?

Saya telah mencoba mencari informasi lebih lanjut tentang pengguna baru ini, seperti apa alamat ip yang mereka gunakan untuk masuk, tetapi sepertinya saya tidak dapat menemukan apa pun.

Beberapa informasi yang berpotensi relevan:
Saat ini saya terhubung ke jaringan universitas saya, dan ikon WiFi saya terlihat baik-baik saja, saya dapat melihat semua opsi jaringan saya, dan tidak ada browser aneh yang muncul sendiri. Apakah ini menunjukkan bahwa siapa pun yang masuk ke sistem saya berada dalam jangkauan router WiFi saya di rumah saya?

Saya berlari chkrootkitdan semuanya tampak baik-baik saja, tetapi saya juga tidak tahu bagaimana menafsirkan semua hasil. Saya tidak tahu apa yang harus saya lakukan di sini. Saya hanya ingin benar-benar yakin orang ini (atau orang lain dalam hal ini) tidak akan pernah dapat mengakses sistem saya lagi dan saya ingin menemukan dan menghapus file tersembunyi yang dibuat oleh mereka. Silahkan dan terima kasih!

PS - Saya sudah mengganti kata sandi dan mengenkripsi file penting saya sementara WiFi dan Jaringan dinonaktifkan.

Rosemary S
sumber
Apakah ada entri dalam auth log yang ada sshdsetelah nama server? Jika tidak maka pasti tidak ada akses ssh .. kecuali mereka membersihkan bagian log itu, dan tidak repot membersihkan entri lain, yang akan aneh.
Arronis
17
Nuke dari orbit !
Boris the Spider
1
dan kemudian ubah semua kata sandi Anda
njzk2
@Arronical Tidak ada entri yang memiliki sshdsetelah nama server, tapi saya setuju bahwa menghapus informasi itu tetapi masih meninggalkan jejak sendiri aneh. Apakah ada cara lain untuk memeriksa jejak bahwa seseorang saya telah ssh'd ke sistem saya?
Rosemary S
1
Jika Anda memiliki solusi, silakan posting sebagai jawaban dan tandai sebagai diterima.
muru

Jawaban:

26

Sepertinya seseorang membuka sesi tamu di laptop Anda saat Anda berada jauh dari kamar Anda. Jika aku jadi kamu, aku akan bertanya-tanya, itu mungkin teman.

Akun tamu yang Anda lihat /etc/passwddan /etc/shadowtidak mencurigakan kepada saya, mereka dibuat oleh sistem ketika seseorang membuka sesi tamu.

27 Apr 06:55:55 Rho su [23881]: su berhasil untuk guest-g20zoo oleh root

Baris ini berarti rootmemiliki akses ke akun tamu, yang mungkin normal tetapi harus diselidiki. Saya sudah mencoba ubuntu1404LTS saya dan tidak melihat perilaku ini. Anda harus mencoba login dengan sesi tamu dan auth.logambil Anda untuk melihat apakah baris ini muncul setiap kali pengguna tamu login .

Semua jendela chrome yang terbuka, yang telah Anda lihat ketika Anda membuka laptop Anda. Apakah mungkin Anda melihat desktop sesi tamu?

daniel
sumber
Ini adalah satu-satunya jawaban yang masuk akal, informasi, dan non-kneejerk.
pipa
Satu-satunya orang lain yang memiliki akses ke laptop saya adalah suami saya, saya tidak pernah meninggalkannya di sekolah atau di depan umum. Juga, saya memodifikasi lightdm.conf.dfile untuk melarang login Sesi Tamu beberapa waktu lalu. Saya pikir saya melihat desktop sesi tamu. Namun, saya menyadari laptop saya tidak lagi ditangguhkan ketika tutupnya mati, dan itu adalah layar sentuh. Jadi, mungkinkah windows di desktop saya (bukan tab di chrome) bisa dibuka jika area layar ditekan saat ditutup? Hanya mencoba mencari tahu apa yang ada di sini.
Rosemary S
1
Banyak jendela yang dibuka setelah bangun dari penangguhan adalah [ASK]. Laptop saya tidak lagi ditangguhkan saat menutup tutupnya, ini adalah layar sentuh. Itu didorong di ransel saya, dan saya menangkap kucing saya berjalan di atasnya di rumah. Saya telah menguji teori saya, windows dibuka karena masalah ini. Saya tidak melihat desktop sesi tamu.
Rosemary S
33

Bersihkan hard drive dan instal ulang sistem operasi Anda dari awal.

Dalam setiap kasus akses yang tidak sah ada kemungkinan penyerang bisa mendapatkan hak akses root, sehingga masuk akal untuk berasumsi bahwa itu terjadi. Dalam hal ini, auth.log tampaknya mengkonfirmasi ini memang benar - kecuali Anda yang beralih pengguna:

27 Apr 06:55:55 Rho su [23881]: su berhasil untuk guest-g20zoo oleh root

Dengan hak akses root khususnya, mereka mungkin telah mengacaukan sistem dengan cara-cara yang secara praktis tidak mungkin untuk diperbaiki tanpa menginstal ulang, seperti dengan memodifikasi skrip boot atau menginstal skrip dan aplikasi baru yang dijalankan saat boot, dan sebagainya. Ini dapat melakukan hal-hal seperti menjalankan perangkat lunak jaringan yang tidak sah (yaitu untuk membentuk bagian dari botnet), atau meninggalkan pintu belakang ke dalam sistem Anda. Mencoba mendeteksi dan memperbaiki hal semacam ini tanpa menginstal ulang berantakan, dan tidak dijamin akan menyingkirkan Anda dari segalanya.

thomasrutter
sumber
6
Bahkan ini tidak akan berfungsi jika mereka menginstal beberapa malware ke perangkat keras, seperti jika mereka menginstal firmware hard drive.
John Dvorak
7
Baris log yang Anda kutip berarti rootpengguna beralih ke guest-g20zoo, bukan sebaliknya.
Dmitry Grigoryev
4
@ JanDvorak Apakah Anda memiliki contoh firmware HDD yang bertindak sebagai Linux backdoor?
Dmitry Grigoryev
1
Saya harus setuju, jika Anda sama sekali tidak yakin dengan keandalan os Anda, dan khawatir Anda akan kehilangan sesuatu, cukup buat cadangan data Anda dan instal ulang os, secara pribadi saya akan mengganti hdds, tetapi hanya supaya saya dapat menarik informasi dari OS lama dan cari tahu siapa yang meretas saya :)
GMasucci
9
@DmitryGrigoryev tetapi jika mereka bisa suke rekening lain dari akar, yang berarti mereka adalah akar.
Léo Lam
3

Saya hanya ingin menyebutkan bahwa "banyak tab peramban / jendela terbuka, Pusat Perangkat Lunak terbuka, file yang diunduh ke desktop" tidak terlalu konsisten dengan seseorang yang masuk ke mesin Anda melalui SSH. Penyerang yang masuk melalui SSH akan mendapatkan konsol teks yang benar-benar terpisah dari apa yang Anda lihat di desktop Anda. Mereka juga tidak perlu google "cara menginstal git" dari sesi desktop Anda karena mereka akan duduk di depan komputer mereka sendiri, kan? Bahkan jika mereka ingin menginstal Git (mengapa?), Mereka tidak perlu mengunduh installer karena Git ada di repositori Ubuntu, siapa pun yang tahu apa-apa tentang Git atau Ubuntu tahu itu. Dan mengapa mereka harus google cara menyesuaikan bash prompt?

Saya juga menduga bahwa "Ada tab ... buka di browser saya. Dibuka kembali beberapa kali setelah saya menutupnya" sebenarnya beberapa tab identik dibuka sehingga Anda harus menutupnya satu per satu.

Yang ingin saya katakan di sini adalah bahwa pola aktivitasnya menyerupai "monyet dengan mesin tik".

Anda juga tidak menyebutkan bahwa Anda bahkan telah menginstal server SSH - itu tidak diinstal secara default.

Jadi, jika Anda benar-benar yakin tidak ada yang memiliki akses fisik laptop Anda tanpa sepengetahuan Anda, dan laptop Anda memiliki layar sentuh, dan itu tidak ditangguhkan dengan benar, dan menghabiskan beberapa waktu di ransel Anda maka saya pikir itu semua bisa menjadi sekadar kasus "panggilan saku" - sentuhan layar acak dikombinasikan dengan saran pencarian dan koreksi otomatis membuka banyak jendela dan melakukan pencarian google, mengklik tautan acak dan mengunduh file acak.

Sebagai anekdot pribadi - ini terjadi dari waktu ke waktu dengan ponsel cerdas saya di saku, termasuk membuka beberapa aplikasi, mengubah pengaturan sistem, mengirim pesan SMS semi-koheren dan menonton video youtube acak.

Sergey
sumber
... atau dalam kasus saya ... menghapus semua teks dari satu teman ...
andy256
2

Apakah Anda punya teman yang suka mengakses laptop Anda dari jarak jauh / fisik saat Anda pergi? Jika tidak:

Bersihkan HDD dengan DBAN dan instal ulang OS dari awal. Pastikan untuk membuat cadangan terlebih dahulu.

Sesuatu mungkin telah sangat dikompromikan dalam Ubuntu itu sendiri. Ketika Anda menginstal ulang:

Enkripsi /home. Jika HDD / laptop itu sendiri pernah dicuri secara fisik, mereka tidak dapat memperoleh akses ke data di dalamnya /home.

Enkripsi HDD. Ini mencegah orang untuk berkompromi /boottanpa masuk. Anda juga harus memasukkan kata sandi waktu boot (saya pikir).

Tetapkan kata sandi yang kuat.Jika seseorang menemukan kata sandi HDD, mereka tidak dapat mengakses /homeatau login.

Enkripsi WiFi Anda.Seseorang mungkin berada dalam jarak dekat router dan memanfaatkan Wifi yang tidak terenkripsi dan ssh'd ke laptop Anda.

Nonaktifkan akun tamu. Penyerang mungkin telah ssh'd ke laptop Anda, mendapatkan koneksi jarak jauh, masuk melalui Tamu, dan mengangkat akun Tamu ke root. Ini adalah situasi yang berbahaya. Jika ini terjadi, penyerang dapat menjalankan perintah SANGAT BERBAHAYA ini :

rm -rf --no-preserve-root / 

Ini menghapus BANYAK data pada HDD, sampah/home , dan bahkan lebih buruk lagi, membuat Ubuntu sama sekali tidak dapat melakukan boot. Anda hanya akan dilemparkan ke penyelamatan grub, dan Anda tidak akan dapat pulih dari ini. Penyerang juga bisa menghancurkan /homedirektori, dan sebagainya. Jika Anda memiliki jaringan rumah, penyerang juga bisa semua komputer lain di jaringan itu tidak dapat boot (jika mereka menjalankan Linux).

Saya harap ini membantu. :)

TheComputerGeek010101001
sumber
1
Mengapa DBAN? Menciptakan tabel partisi harus sepenuhnya mencukupi, belum lagi bahwa DBAN akan sangat merusak SSD jika OP memilikinya.
gronostaj
mengapa seorang hacker harus dijalankan rm -rf /? dia akan mengambil semua data Anda. memusnahkan data tidak masuk akal.
LittleByBlue
btw. JANGAN PERNAH menjalankannya rm -rf /dapat merusak mesin lengkap Anda, karena versi linux lama (lebih dari 4,5) tidak melindungi UEFI dan Anda akan merusaknya, jika Anda menghapus beberapa file dari /sys/firmware/efi/efivars/.
LittleByBlue
1

Aktivitas "mencurigakan" dijelaskan sebagai berikut: laptop saya tidak lagi ditangguhkan ketika tutupnya ditutup, laptopnya adalah layar sentuh dan bereaksi terhadap tekanan yang diberikan (mungkin kucing saya). Baris yang disediakan dari /var/log/auth.log, dan output dari whoperintah konsisten dengan login sesi tamu. Sementara saya menonaktifkan login sesi tamu dari penyapa, itu masih dapat diakses dari menu drop down di sudut kanan atas di Unity DE. Ergo, sesi tamu dapat dibuka saat saya masuk.

Saya telah menguji teori "tekanan yang diterapkan"; Jendela dapat dan memang terbuka saat tutupnya tertutup. Saya juga masuk ke sesi tamu baru. Log baris identik dengan apa yang saya anggap aktivitas mencurigakan hadir /var/log/auth.logsetelah saya melakukan ini. Saya beralih pengguna, kembali ke akun saya, dan menjalankan whoperintah - output menunjukkan ada tamu yang masuk ke sistem.

Logo WiFi panah atas-bawah telah kembali ke logo WiFi standar, dan semua koneksi yang tersedia terlihat. Ini adalah masalah dengan jaringan kami, dan tidak terkait.

Rosemary S
sumber
-1

Tarik kartu / tongkat nirkabel dan lihat jejaknya. Catat log Anda sehingga askbuntu dapat membantu lebih lanjut. Setelah itu bersihkan drive Anda dan coba distro yang berbeda, coba live cd biarkan berjalan untuk melihat apakah ada pola serangan.

Jim
sumber
3
Kenapa dia ingin melihat jejak kartu wifi ...?
Keith M
4
Untuk alasan itu, mengapa dia mengeluarkan kartu wifi-nya
Keith M
1
@KeithM apakah Anda pernah menarik kartu wifi laptop? laptop ini tidak akan pernah terinfeksi lagi .... ;-) pastikan untuk membuat cadangan sebelum Anda menarik kartu ...
LittleByBlue