webentwicklung-frage-antwort-db.com.de

PC gehackt: Wie kann ich diesen Benutzer daran hindern, sich erneut anzumelden? Wie finde ich heraus, wie sie sich anmelden?

Ich bin zu 99,9% sicher, dass mein System auf meinem PC infiltriert wurde. Gestatten Sie mir, zunächst meine Überlegungen anzustellen, damit die Situation klar wird:

Grobe Zeitleiste verdächtiger Aktivitäten und nachfolgender Maßnahmen:

4-26 23:00
Ich beendete alle Programme und schloss meinen Laptop.

4-27 12:00
Ich habe meinen Laptop geöffnet, nachdem er sich ungefähr 13 Stunden im Suspend-Modus befunden hatte. Es waren mehrere Fenster geöffnet, darunter: Zweichrome Fenster, Systemeinstellungen, Software Center. Auf meinem Desktop gab es ein Git-Installationsprogramm (ich habe es überprüft, es wurde nicht installiert).

4-27 13:00
Im Chrome-Verlauf wurden Anmeldungen für meine E-Mail und andere von mir nicht initiierte Suchverlaufsdaten (zwischen 01:00 und 03:00 Uhr, 4-27 Uhr) angezeigt, einschließlich "Installation von Git". In meinem Browser war die Registerkarte Digital Ocean "So passen Sie Ihre Bash-Eingabeaufforderung an" geöffnet. Es öffnete sich mehrmals, nachdem ich es geschlossen hatte. Ich habe die Sicherheit in Chrome verschärft.

Ich habe die WLAN-Verbindung getrennt, aber als ich die Verbindung wieder herstellte, wurde anstelle des Standardsymbols ein Aufwärts-/Abwärtspfeil angezeigt, und im Dropdown-Menü für WLAN wurde keine Netzwerkliste mehr angezeigt
Unter 'Edit Connections' bemerkte ich, dass mein Laptop um ~ 05: 30 am 4-27 mit einem Netzwerk namens "GFiberSetup 1802" verbunden war. Meine Nachbarn von 1802 xx Drive hatten gerade Google Fibre installiert. Ich schätze, es hängt damit zusammen.

4-27 20:30
Der Befehl who hat ergeben, dass ein zweiter Benutzer mit dem Namen guest-g20Zoo bei meinem System angemeldet war. Dies ist mein privater Laptop, auf dem Ubuntu läuft. Es sollte niemanden auf meinem System geben. In Panik habe ich Sudo pkill -9 -u guest-g20Zoo ausgeführt und Netzwerk und Wifi deaktiviert

Ich habe in /var/log/auth.log nachgesehen und Folgendes gefunden:

Apr 27 06:55:55 Rho useradd[23872]: new group: name=guest-g20Zoo, GID=999  
Apr 27 06:55:55 Rho useradd[23872]: new user: name=guest-g20Zoo, UID=999, GID=999, home=/tmp/guest-g20Zoo, Shell=/bin/bash    
Apr 27 06:55:55 Rho su[23881]: Successful su for guest-g20Zoo by root  
Apr 27 06:55:55 Rho su[23881]: + ??? root:guest-g20Zoo  
Apr 27 06:55:55 Rho su[23881]: pam_unix(su:session): session opened for user guest-g20Zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20Zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd-logind[767]: New session c3 of user guest-g20Zoo.  
Apr 27 06:55:56 Rho su[23881]: pam_unix(su:session): session closed for user guest-g20Zoo  
Apr 27 06:55:56 Rho systemd-logind[767]: Removed session c3.  
Apr 27 06:55:56 Rho lightdm: pam_unix(lightdm-autologin:session): session opened for user guest-g20Zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session closed for user guest-g20Zoo  
Apr 27 06:55:56 Rho systemd-logind[767]: New session c4 of user guest-g20Zoo.  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20Zoo by (uid=0)  
Apr 27 06:56:51 Rho pkexec: pam_unix(polkit-1:session): session opened for user root by (uid=1000)  
Apr 27 06:56:51 Rho pkexec: pam_systemd(polkit-1:session): Cannot create session: Already running in a session

Es tut uns leid, es ist eine Menge Ausgabe, aber das ist der Hauptteil der Aktivität von guest-g20Zoo im Protokoll, und das alles innerhalb weniger Minuten.

Ich habe auch /etc/passwd überprüft:

guest-G4J7WQ:x:120:132:Guest,,,:/tmp/guest-G4J7WQ:/bin/bash

Und /etc/shadow:

root:!:16669:0:99999:7:::  
daemon:*:16547:0:99999:7:::  
.  
.  
.   
nobody:*:16547:0:99999:7:::  
rhobot:$6$encrypted-passwd-cut-for-length.:16918:0:99999:7:::  
guest-G4J7WQ:*:16689:0:99999:7:::  
.  
.

Ich verstehe nicht ganz, was diese Ausgabe für meine Situation bedeutet. Sind guest-g20Zoo und guest-G4J7WQ derselbe Benutzer?

lastlog zeigt:

guest-G4J7WQ      Never logged in

last zeigt jedoch:

guest-g20Zoo      Wed Apr 27 06:55 - 20:33 (13:37)

Es sieht also so aus, als wären sie nicht derselbe Benutzer, aber guest-g20Zoo war in der Ausgabe von lastlog nirgends zu finden.

Ich möchte den Zugriff für den Benutzer guest-g20Zoo sperren, aber da (s) er nicht in /etc/shadow erscheint, gehe ich davon aus, dass zum Anmelden kein Kennwort verwendet wird, aber ssh verwendet wird passwd -l guest-g20Zoo Arbeit?

Ich habe systemctl stop sshd versucht, aber diese Fehlermeldung erhalten:

Failed to stop sshd.service: Unit sshd.service not loaded

Bedeutet dies, dass die Remote-Anmeldung auf meinem System bereits deaktiviert war und der obige Befehl daher redundant ist?

Ich habe versucht, mehr Informationen über diesen neuen Benutzer zu finden, beispielsweise über welche IP-Adresse er sich angemeldet hat, aber ich kann anscheinend nichts finden.

Einige potenziell relevante Informationen:
Derzeit bin ich mit dem Netzwerk meiner Universität verbunden und mein WLAN-Symbol sieht gut aus. Ich kann alle Netzwerkoptionen anzeigen und es werden keine seltsamen Browser angezeigt. Bedeutet dies, dass sich jeder, der sich bei meinem System anmeldet, in Reichweite meines WLAN-Routers bei mir zu Hause befindet?

Ich lief chkrootkit und alles schien in Ordnung, aber ich weiß auch nicht, wie ich die gesamte Ausgabe interpretieren soll. Ich weiß nicht wirklich, was ich hier machen soll. Ich möchte nur absolut sicher sein, dass diese Person (oder sonst jemand) nie wieder auf mein System zugreifen kann, und ich möchte alle versteckten Dateien finden und entfernen, die von ihr erstellt wurden. Bitte und Dankeschön!

P.S. - Ich habe mein Passwort bereits geändert und meine wichtigen Dateien verschlüsselt, während WLAN und Netzwerk deaktiviert waren.

26
Rosemary S

Es sieht so aus, als hätte jemand eine Gastsitzung auf Ihrem Laptop eröffnet, während Sie nicht in Ihrem Zimmer waren. Wenn ich Sie wäre, würde ich mich erkundigen, das könnte ein Freund sein.

Die in /etc/passwd und /etc/shadow angezeigten Gastkonten sind für mich nicht verdächtig. Sie werden vom System erstellt, wenn jemand eine Gastsitzung öffnet.

27. April, 06:55:55 Uhr Rho su [23881]: Erfolgreiche su für guest-g20Zoo von root

Diese Zeile bedeutet, dass root Zugriff auf das Gastkonto hat. Dies könnte normal sein, sollte aber untersucht werden. Ich habe mein ubuntu1404LTS ausprobiert und sehe dieses Verhalten nicht. Sie sollten versuchen, sich mit einer Gastsitzung anzumelden und Ihren auth.log abzufragen, um festzustellen, ob diese Zeile jedes Mal angezeigt wird, wenn sich ein Gastbenutzer anmeldet.

Alle geöffneten Chromfenster, die Sie gesehen haben, als Sie Ihren Laptop geöffnet haben. Ist es möglich, dass Sie den Desktop der Gastsitzung gesehen haben?

26
daniel

Wischen Sie die Festplatte und installieren Sie Ihr Betriebssystem neu.

Bei nicht autorisiertem Zugriff besteht die Möglichkeit, dass der Angreifer Root-Rechte erhalten konnte. Daher ist es sinnvoll anzunehmen, dass dies geschehen ist. In diesem Fall scheint auth.log zu bestätigen, dass dies tatsächlich der Fall war - es sei denn, dies war Sie , der den Benutzer gewechselt hat:

27. April, 06:55:55 Uhr Rho su [23881]: Erfolgreiche su für guest-g20Zoo von root

Insbesondere mit Root-Rechten haben sie möglicherweise Probleme mit dem System, die sich ohne eine Neuinstallation praktisch nicht beheben lassen, z. B. durch Ändern von Boot-Skripten oder Installieren neuer Skripten und Anwendungen, die beim Booten ausgeführt werden. Diese können beispielsweise nicht autorisierte Netzwerksoftware ausführen (z. B. um Teil eines Botnetzes zu sein) oder Hintertüren in Ihrem System hinterlassen. Der Versuch, solche Dinge ohne Neuinstallation zu erkennen und zu reparieren, ist im besten Fall chaotisch und kann Sie garantiert nicht von allem befreien.

34
thomasrutter

Ich möchte nur erwähnen, dass "mehrere Browser-Registerkarten/Fenster geöffnet, Software-Center geöffnet, Dateien auf den Desktop heruntergeladen" nicht sehr konsistent ist mit jemandem, der sich über SSH auf Ihrem Computer anmeldet. Ein Angreifer, der sich über SSH anmeldet, erhält eine Textkonsole, die sich vollständig von dem unterscheidet, was Sie auf Ihrem Desktop sehen. Sie müssten auch nicht in Ihrer Desktopsitzung googeln, um zu erfahren, wie man Git installiert, weil sie vor ihrem eigenen Computer sitzen würden, oder? Selbst wenn sie Git installieren wollten (warum?), Mussten sie kein Installationsprogramm herunterladen, da sich Git in Ubuntu-Repositorys befindet. Jeder, der etwas über Git oder Ubuntu weiß, weiß das. Und warum mussten sie googeln, um die Bash-Eingabeaufforderung anzupassen?

Ich vermute auch, dass "Es gab einen Tab ... geöffnet in meinem Browser. Es wurde mehrmals wieder geöffnet, nachdem ich es geschlossen habe" tatsächlich mehrere identische Tabs geöffnet waren, so dass Sie sie nacheinander schließen mussten.

Ich versuche hier zu sagen, dass das Aktivitätsmuster einem "Affen mit einer Schreibmaschine" ähnelt.

Sie haben auch nicht erwähnt, dass Sie sogar einen SSH-Server installiert haben - er ist nicht standardmäßig installiert.

Also, wenn Sie absolut sicher sind, dass niemand physischen Zugang Ihren Laptop ohne Ihr Wissen hatte und Ihr Laptop einen Touchscreen hat, und es nicht richtig aufhängt und einige Zeit in Ihrem Rucksack verbracht hat, dann habe ich Ich denke, alles kann einfach ein Fall von "Pocket Calling" sein - zufällige Bildschirmberührungen, kombiniert mit Suchvorschlägen und automatischer Korrektur, haben mehrere Fenster geöffnet und Google-Suchen durchgeführt, auf zufällige Links geklickt und zufällige Dateien heruntergeladen.

Als persönliche Anekdote - es passiert von Zeit zu Zeit mit meinem Smartphone in der Tasche, einschließlich des Öffnens mehrerer Apps, des Änderns der Systemeinstellungen, des Versendens von halbkohärenten SMS -Nachrichten und des Betrachtens zufälliger YouTube-Videos.

3
Sergey

Haben Sie Freunde, die während Ihrer Abwesenheit aus der Ferne/physisch auf Ihren Laptop zugreifen möchten? Wenn nicht:

Wischen Sie die Festplatte mit DBAN ab und installieren Sie das Betriebssystem neu. Stellen Sie sicher, dass Sie zuerst eine Sicherungskopie erstellen.

Möglicherweise wurde in Ubuntu selbst eine schwerwiegende Beeinträchtigung festgestellt. Wenn Sie neu installieren:

/home verschlüsseln. Wenn die Festplatte/der Laptop selbst jemals gestohlen wird, können sie innerhalb von /home nicht auf die Daten zugreifen.

Verschlüsseln Sie die Festplatte. Dies verhindert, dass Benutzer ohne Anmeldung /boot kompromittieren. Sie müssen auch ein Startkennwort eingeben (glaube ich).

Richten Sie ein sicheres Passwort ein. Wenn jemand das Festplattenpasswort herausfindet, kann er nicht auf /home zugreifen oder sich anmelden.

Verschlüsseln Sie Ihr WLAN. Möglicherweise ist jemand in die Nähe des Routers gelangt und hat unverschlüsseltes WLAN und SSH in Ihren Laptop eingespeist.

Deaktivieren Sie das Gastkonto. Möglicherweise hat der Angreifer auf Ihren Laptop zugegriffen, eine Remoteverbindung hergestellt, sich über Guest angemeldet und das Gastkonto auf root erhöht. Dies ist eine gefährliche Situation. In diesem Fall könnte der Angreifer den folgenden SEHR GEFÄHRLICH Befehl ausführen:

rm -rf --no-preserve-root / 

Dies löscht VIEL der Daten auf der Festplatte, wirft /home in den Papierkorb und noch schlimmer, Ubuntu kann überhaupt nicht mehr booten. Sie werden nur in die Madenrettung geworfen, und Sie werden nicht in der Lage sein, sich davon zu erholen. Der Angreifer könnte auch das Verzeichnis /home usw. vollständig zerstören. Wenn Sie ein Heimnetzwerk haben, kann der Angreifer auch alle anderen Computer in diesem Netzwerk nicht starten (wenn sie Linux ausführen).

Ich hoffe das hilft. :)

Die "verdächtige" Aktivität wird durch Folgendes erklärt: Mein Laptop hängt nicht mehr, wenn der Deckel geschlossen ist, der Laptop ist ein Touchscreen und reagiert auf Druck (möglicherweise meine Katzen). Die angegebenen Zeilen von /var/log/auth.log und die Ausgabe des Befehls who stimmen mit der Anmeldung bei einer Gastsitzung überein. Während ich die Anmeldung für die Gastsitzung über den Begrüßer deaktiviert habe, kann über das Dropdown-Menü in der oberen rechten Ecke in Unity DE weiterhin darauf zugegriffen werden. Ergo kann eine Gastsitzung eröffnet werden, während ich eingeloggt bin.

Ich habe die Theorie des "angewandten Drucks" getestet. Fenster können und tun sich öffnen, während der Deckel geschlossen ist. Ich habe mich auch bei einer neuen Gastsitzung angemeldet. Protokollzeilen, die mit denen identisch waren, die ich als verdächtige Aktivität empfand, waren in /var/log/auth.log vorhanden, nachdem ich dies getan hatte. Ich habe die Benutzer zurück zu meinem Konto gewechselt und den Befehl who ausgeführt. Die Ausgabe zeigte an, dass ein Gast im System angemeldet war.

Das WLAN-Logo mit dem Pfeil nach oben und nach unten wurde auf das Standard-WLAN-Logo zurückgesetzt, und alle verfügbaren Verbindungen sind sichtbar. Dies war ein Problem mit unserem Netzwerk und hat nichts damit zu tun.

1
Rosemary S