Tenho 99,9% de certeza de que meu sistema no meu computador pessoal foi infiltrado. Permita-me primeiro apresentar meu raciocínio para que a situação fique clara:
Cronograma aproximado de atividades suspeitas e ações subsequentes tomadas:
4-26 23:00 Finalizei
todos os programas e fechei meu laptop.
4-27 12:00
Abri o laptop depois de 13 horas no modo de suspensão. Várias janelas foram abertas, incluindo: Duas janelas cromadas, configurações do sistema, centro de software. Na minha área de trabalho, havia um instalador git (verifiquei, ele não foi instalado).
4-27 13:00
O histórico do Chrome exibia logins no meu email e outro histórico de pesquisa que eu não iniciei (entre 01:00 e 03:00 em 4-27), incluindo "instalando o git". Havia uma guia, Digital Ocean "Como personalizar seu prompt do bash", aberta no meu navegador. Reabriu várias vezes depois que eu a fechei. Eu reforcei a segurança no Chrome.
Desconectei do Wi-Fi, mas, quando reconectado, havia um símbolo de seta para cima e para baixo, em vez do símbolo padrão, e não havia mais uma lista de redes no menu suspenso para Wifi.
Em "Editar conexões", observei que meu laptop estava conectado a uma rede chamada "GFiberSetup 1802" às ~ 05:30 no 4-27. Meus vizinhos no 1802 xx Drive tinham o Google Fiber instalado, então acho que está relacionado.
4-27 20:30
O who
comando revelou que um segundo usuário chamado guest-g20zoo estava conectado ao meu sistema. Este é o meu laptop particular que roda o Ubuntu; não deve haver mais ninguém no meu sistema. Em pânico, corri sudo pkill -9 -u guest-g20zoo
e desabilitei o Networking e Wifi
Procurei /var/log/auth.log
e encontrei o seguinte:
Apr 27 06:55:55 Rho useradd[23872]: new group: name=guest-g20zoo, GID=999
Apr 27 06:55:55 Rho useradd[23872]: new user: name=guest-g20zoo, UID=999, GID=999, home=/tmp/guest-g20zoo, shell=/bin/bash
Apr 27 06:55:55 Rho su[23881]: Successful su for guest-g20zoo by root
Apr 27 06:55:55 Rho su[23881]: + ??? root:guest-g20zoo
Apr 27 06:55:55 Rho su[23881]: pam_unix(su:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd-logind[767]: New session c3 of user guest-g20zoo.
Apr 27 06:55:56 Rho su[23881]: pam_unix(su:session): session closed for user guest-g20zoo
Apr 27 06:55:56 Rho systemd-logind[767]: Removed session c3.
Apr 27 06:55:56 Rho lightdm: pam_unix(lightdm-autologin:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session closed for user guest-g20zoo
Apr 27 06:55:56 Rho systemd-logind[767]: New session c4 of user guest-g20zoo.
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:56:51 Rho pkexec: pam_unix(polkit-1:session): session opened for user root by (uid=1000)
Apr 27 06:56:51 Rho pkexec: pam_systemd(polkit-1:session): Cannot create session: Already running in a session
Desculpe, é muita saída, mas essa é a maior parte da atividade do guest-g20zoo no log, tudo dentro de alguns minutos.
Eu também verifiquei /etc/passwd
:
guest-G4J7WQ:x:120:132:Guest,,,:/tmp/guest-G4J7WQ:/bin/bash
E /etc/shadow
:
root:!:16669:0:99999:7:::
daemon:*:16547:0:99999:7:::
.
.
.
nobody:*:16547:0:99999:7:::
rhobot:$6$encrypted-passwd-cut-for-length.:16918:0:99999:7:::
guest-G4J7WQ:*:16689:0:99999:7:::
.
.
Não entendo completamente o que essa saída significa para a minha situação. São guest-g20zoo
e guest-G4J7WQ
o mesmo usuário?
lastlog
mostra:
guest-G4J7WQ Never logged in
No entanto, last
mostra:
guest-g20zoo Wed Apr 27 06:55 - 20:33 (13:37)
Parece que eles não são o mesmo usuário, mas o guest-g20zoo não foi encontrado em nenhum lugar na saída de lastlog
.
Gostaria de bloquear o acesso do usuário guest-g20zoo, mas como ele não aparece /etc/shadow
e suponho que não use uma senha para fazer login, mas use ssh, passwd -l guest-g20zoo
funcionará?
Eu tentei systemctl stop sshd
, mas recebi esta mensagem de erro:
Failed to stop sshd.service: Unit sshd.service not loaded
Isso significa que o login remoto já foi desativado no meu sistema e, portanto, o comando acima é redundante?
Tentei encontrar mais informações sobre esse novo usuário, como o endereço IP em que ele fez login, mas não consigo encontrar nada.
Algumas informações potencialmente relevantes:
Atualmente, estou conectado à rede da minha universidade e meu ícone de WiFi parece bem, posso ver todas as minhas opções de rede e não há navegadores estranhos aparecendo por conta própria. Isso indica que quem está entrando no meu sistema está dentro do alcance do meu roteador WiFi em minha casa?
Corri chkrootkit
e tudo parecia bem, mas também não sei como interpretar toda a saída. Eu realmente não sei o que fazer aqui. Eu só quero ter certeza absoluta de que essa pessoa (ou qualquer outra pessoa) nunca poderá acessar meu sistema novamente e quero encontrar e remover todos os arquivos ocultos criados por elas. Por favor e obrigado!
PS - Eu já mudei minha senha e criptografei meus arquivos importantes enquanto o WiFi e a Rede estavam desabilitados.
sshd
o nome do servidor, mas eu concordo que remover essas informações, mas ainda deixar rastros de si mesmas, é estranho. Existe alguma outra maneira de verificar se há um rastreamento que alguém introduziu no meu sistema?
sshd
após o nome do servidor? Caso contrário, definitivamente não haverá acesso ssh ... a menos que eles limpem essa parte do log e não se incomodem em limpar as outras entradas, o que seria estranho.