Computador pessoal hackeado: como faço para bloquear esse usuário de fazer login novamente? Como descubro como eles estão fazendo login?

Tenho 99,9% de certeza de que meu sistema no meu computador pessoal foi infiltrado. Permita-me primeiro apresentar meu raciocínio para que a situação fique clara:

Cronograma aproximado de atividades suspeitas e ações subsequentes tomadas:

4-26 23:00 Finalizei
todos os programas e fechei meu laptop.

4-27 12:00
Abri o laptop depois de 13 horas no modo de suspensão. Várias janelas foram abertas, incluindo: Duas janelas cromadas, configurações do sistema, centro de software. Na minha área de trabalho, havia um instalador git (verifiquei, ele não foi instalado).

4-27 13:00
O histórico do Chrome exibia logins no meu email e outro histórico de pesquisa que eu não iniciei (entre 01:00 e 03:00 em 4-27), incluindo "instalando o git". Havia uma guia, Digital Ocean "Como personalizar seu prompt do bash", aberta no meu navegador. Reabriu várias vezes depois que eu a fechei. Eu reforcei a segurança no Chrome.

Desconectei do Wi-Fi, mas, quando reconectado, havia um símbolo de seta para cima e para baixo, em vez do símbolo padrão, e não havia mais uma lista de redes no menu suspenso para Wifi.
Em "Editar conexões", observei que meu laptop estava conectado a uma rede chamada "GFiberSetup 1802" às ~ 05:30 no 4-27. Meus vizinhos no 1802 xx Drive tinham o Google Fiber instalado, então acho que está relacionado.

4-27 20:30
O whocomando revelou que um segundo usuário chamado guest-g20zoo estava conectado ao meu sistema. Este é o meu laptop particular que roda o Ubuntu; não deve haver mais ninguém no meu sistema. Em pânico, corri sudo pkill -9 -u guest-g20zooe desabilitei o Networking e Wifi

Procurei /var/log/auth.loge encontrei o seguinte:

Apr 27 06:55:55 Rho useradd[23872]: new group: name=guest-g20zoo, GID=999  
Apr 27 06:55:55 Rho useradd[23872]: new user: name=guest-g20zoo, UID=999, GID=999, home=/tmp/guest-g20zoo, shell=/bin/bash    
Apr 27 06:55:55 Rho su[23881]: Successful su for guest-g20zoo by root  
Apr 27 06:55:55 Rho su[23881]: + ??? root:guest-g20zoo  
Apr 27 06:55:55 Rho su[23881]: pam_unix(su:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd-logind[767]: New session c3 of user guest-g20zoo.  
Apr 27 06:55:56 Rho su[23881]: pam_unix(su:session): session closed for user guest-g20zoo  
Apr 27 06:55:56 Rho systemd-logind[767]: Removed session c3.  
Apr 27 06:55:56 Rho lightdm: pam_unix(lightdm-autologin:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session closed for user guest-g20zoo  
Apr 27 06:55:56 Rho systemd-logind[767]: New session c4 of user guest-g20zoo.  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:56:51 Rho pkexec: pam_unix(polkit-1:session): session opened for user root by (uid=1000)  
Apr 27 06:56:51 Rho pkexec: pam_systemd(polkit-1:session): Cannot create session: Already running in a session

Desculpe, é muita saída, mas essa é a maior parte da atividade do guest-g20zoo no log, tudo dentro de alguns minutos.

Eu também verifiquei /etc/passwd:

guest-G4J7WQ:x:120:132:Guest,,,:/tmp/guest-G4J7WQ:/bin/bash

E /etc/shadow:

root:!:16669:0:99999:7:::  
daemon:*:16547:0:99999:7:::  
.  
.  
.   
nobody:*:16547:0:99999:7:::  
rhobot:$6$encrypted-passwd-cut-for-length.:16918:0:99999:7:::  
guest-G4J7WQ:*:16689:0:99999:7:::  
.  
.

Não entendo completamente o que essa saída significa para a minha situação. São guest-g20zooe guest-G4J7WQo mesmo usuário?

lastlog mostra:

guest-G4J7WQ      Never logged in

No entanto, lastmostra:

guest-g20zoo      Wed Apr 27 06:55 - 20:33 (13:37)

Parece que eles não são o mesmo usuário, mas o guest-g20zoo não foi encontrado em nenhum lugar na saída de lastlog.

Gostaria de bloquear o acesso do usuário guest-g20zoo, mas como ele não aparece /etc/shadowe suponho que não use uma senha para fazer login, mas use ssh, passwd -l guest-g20zoofuncionará?

Eu tentei systemctl stop sshd, mas recebi esta mensagem de erro:

Failed to stop sshd.service: Unit sshd.service not loaded

Isso significa que o login remoto já foi desativado no meu sistema e, portanto, o comando acima é redundante?

Tentei encontrar mais informações sobre esse novo usuário, como o endereço IP em que ele fez login, mas não consigo encontrar nada.

Algumas informações potencialmente relevantes:
Atualmente, estou conectado à rede da minha universidade e meu ícone de WiFi parece bem, posso ver todas as minhas opções de rede e não há navegadores estranhos aparecendo por conta própria. Isso indica que quem está entrando no meu sistema está dentro do alcance do meu roteador WiFi em minha casa?

Corri chkrootkite tudo parecia bem, mas também não sei como interpretar toda a saída. Eu realmente não sei o que fazer aqui. Eu só quero ter certeza absoluta de que essa pessoa (ou qualquer outra pessoa) nunca poderá acessar meu sistema novamente e quero encontrar e remover todos os arquivos ocultos criados por elas. Por favor e obrigado!

PS - Eu já mudei minha senha e criptografei meus arquivos importantes enquanto o WiFi e a Rede estavam desabilitados.

Parece que alguém abriu uma sessão de convidado no seu laptop enquanto você estava longe do seu quarto. Se eu fosse você, perguntaria por aí, isso pode ser um amigo.

As contas de convidado que você vê /etc/passwde /etc/shadownão são suspeitas para mim, são criadas pelo sistema quando alguém abre uma sessão de convidado.

27 de abril 06:55:55 Rho su [23881]: Su com êxito para guest-g20zoo pela raiz

Essa linha significa rootter acesso à conta de convidado, o que pode ser normal, mas deve ser investigado. Eu tentei no meu ubuntu1404LTS e não vejo esse comportamento. Você deve tentar fazer login com uma sessão de convidado e aguardar o seu auth.logpara ver se essa linha aparece toda vez que um usuário convidado faz login.

Todas as janelas abertas do chrome que você viu quando abriu o laptop. É possível que você estivesse vendo a área de trabalho da sessão de convidado?

Limpe o disco rígido e reinstale o sistema operacional a partir do zero.

Em qualquer caso de acesso não autorizado, existe a possibilidade de o invasor obter privilégios de root, portanto, é sensato supor que isso aconteceu. Nesse caso, o auth.log parece confirmar que esse foi realmente o caso - a menos que você tenha mudado de usuário:

27 de abril 06:55:55 Rho su [23881]: Su com êxito para guest-g20zoo pela raiz

Com privilégios de root em particular, eles podem ter interferido no sistema de maneiras praticamente impossíveis de corrigir sem uma reinstalação, como modificando scripts de inicialização ou instalando novos scripts e aplicativos executados na inicialização, e assim por diante. Isso pode fazer coisas como executar um software de rede não autorizado (ou seja, formar parte de uma botnet) ou deixar backdoors no sistema. Tentar detectar e reparar esse tipo de coisa sem reinstalar é confuso, na melhor das hipóteses, e não garante que você se livre de tudo.

Eu só quero mencionar que "várias guias / janelas do navegador abertas, Software Center aberto, arquivos baixados para a área de trabalho" não são muito consistentes com alguém fazendo login na sua máquina via SSH. Um invasor que fizer logon via SSH obteria um console de texto completamente separado do que você vê na área de trabalho. Eles também não precisariam pesquisar no Google "como instalar o git" na sua sessão da área de trabalho porque estariam sentados na frente do próprio computador, certo? Mesmo se eles quisessem instalar o Git (por quê?), Eles não precisariam baixar um instalador porque o Git está nos repositórios do Ubuntu, qualquer um que saiba algo sobre o Git ou o Ubuntu sabe disso. E por que eles tiveram que pesquisar no Google como personalizar o prompt do bash?

Eu também suspeito que "Havia uma guia ... aberta no meu navegador. Ela foi reaberta várias vezes depois que eu a fechei" eram na verdade várias guias idênticas abertas, então você tinha que fechá-las uma a uma.

O que estou tentando dizer aqui é que o padrão de atividade se assemelha a um "macaco com uma máquina de escrever".

Você também não mencionou que ainda tinha o servidor SSH instalado - ele não é instalado por padrão.

Portanto, se você tem certeza absoluta de que ninguém teve acesso físico ao seu laptop sem o seu conhecimento, e o seu laptop possui uma tela sensível ao toque, ele não é suspenso corretamente e passou algum tempo na mochila, acho que tudo pode ser simplesmente um caso de "chamada de bolso" - toques aleatórios na tela combinados com sugestões de pesquisa e correção automática abriram várias janelas e realizaram pesquisas no google, clicando em links aleatórios e baixando arquivos aleatórios.

Como uma anedota pessoal - acontece de tempos em tempos com meu smartphone no bolso, incluindo a abertura de vários aplicativos, alteração de configurações do sistema, envio de mensagens SMS semi-coerentes e visualização de vídeos aleatórios do youtube.

Você tem algum amigo que gosta de acessar seu laptop remotamente / fisicamente enquanto estiver fora? Se não:

Limpe o disco rígido com DBAN e reinstale o sistema operacional a partir do zero. Certifique-se de fazer backup primeiro.

Algo pode ter sido severamente comprometido no próprio Ubuntu. Quando você reinstalar:

Criptografar /home. Se o próprio HDD / laptop for fisicamente roubado, eles não poderão obter acesso aos dados contidos nele /home.

Criptografe o disco rígido. Isso evita que as pessoas se comprometam /bootsem fazer login. Você também precisará digitar uma senha de inicialização (eu acho).

Defina uma senha forte. Se alguém descobrir a senha do disco rígido, não poderá acessar /homeou fazer login.

Criptografe seu WiFi. Alguém pode ter se aproximado do roteador e aproveitado o Wifi não criptografado e o ssh'd no seu laptop.

Desative a conta de convidado. O invasor pode ter ssh'd no seu laptop, obtido uma conexão remota, efetuado login via Convidado e elevado a conta Convidado à raiz. Essa é uma situação perigosa. Se isso acontecesse, o invasor poderia executar este comando MUITO PERIGOSO :

rm -rf --no-preserve-root / 

Isso apaga MUITOS dados no disco rígido, trash /homee, pior ainda, deixa o Ubuntu completamente incapaz de inicializar. Você será jogado no resgate grub e não poderá se recuperar disso. O invasor também pode destruir completamente o /homediretório e assim por diante. Se você tiver uma rede doméstica, o invasor também poderá não conseguir inicializar todos os outros computadores dessa rede (se eles executarem o Linux).

Eu espero que isso ajude. :)

A atividade "suspeita" é explicada pelo seguinte: meu laptop não suspende mais quando a tampa é fechada, o laptop é uma tela sensível ao toque e reagiu à pressão aplicada (possivelmente meus gatos). As linhas fornecidas de /var/log/auth.loge a saída do whocomando são consistentes com um logon da sessão de convidado. Enquanto eu desabilitei o login da sessão de convidado do greeter, ele ainda pode ser acessado no menu suspenso no canto superior direito do Unity DE. Portanto, uma sessão de convidado pode ser aberta enquanto eu estiver conectado.

Eu testei a teoria da "pressão aplicada"; as janelas podem abrir e abrem enquanto a tampa está fechada. Também entrei em uma nova sessão de convidado. Linhas de log idênticas às que eu considerava atividades suspeitas estavam presentes /var/log/auth.logdepois que eu fiz isso. Troquei os usuários, voltei para minha conta e executei o whocomando - a saída indicava que havia um convidado conectado ao sistema.

O logotipo WiFi da seta para cima e para baixo reverteu para o logotipo WiFi padrão e todas as conexões disponíveis são visíveis. Este foi um problema com a nossa rede e não tem relação.

Puxe a placa / stick sem fio e observe os traços. Faça um registro de seus logs para que o askbuntu possa ajudar ainda mais. Depois disso, limpe suas unidades e tente uma distribuição diferente, tente um CD ao vivo deixando-o em execução para ver se há um padrão para os ataques.