Saya 99,9% yakin bahwa sistem saya di komputer pribadi saya telah disusupi. Izinkan saya untuk memberikan alasan saya terlebih dahulu sehingga situasinya akan menjadi jelas:
Garis waktu kasar dari aktivitas mencurigakan dan tindakan selanjutnya yang diambil:
4-26 23:00
Saya mengakhiri semua program dan menutup laptop saya.
4-27 12:00
Saya membuka laptop saya setelah dalam mode menangguhkan selama sekitar 13 jam. Beberapa jendela terbuka termasuk: Dua jendela chrome, pengaturan sistem, pusat perangkat lunak. Di desktop saya ada installer git (saya memeriksa, itu belum diinstal).
4-27 13:00
Riwayat Chrome menampilkan info masuk ke email saya, dan riwayat pencarian lain yang tidak saya mulai (antara 01:00 dan 03:00 pada 4-27), termasuk "menginstal git". Ada tab, Digital Ocean "Cara menyesuaikan bash prompt" terbuka di browser saya. Dibuka kembali beberapa kali setelah saya menutupnya. Saya memperketat keamanan di Chrome.
Saya terputus dari WiFi, tetapi ketika saya menghubungkan kembali ada simbol panah atas bukan simbol standar, dan tidak ada lagi daftar jaringan di menu drop down untuk Wifi
Di bawah 'Edit Koneksi' Saya perhatikan laptop saya telah terhubung ke jaringan yang disebut "GFiberSetup 1802" pada ~ 05:30 pada 4-27. Tetangga saya di 1802 xx Drive baru saja menginstal google fiber, jadi saya kira itu terkait.
4-27 20:30
The who
perintah mengungkapkan bahwa pengguna kedua bernama tamu-g20zoo itu login ke sistem saya. Ini laptop pribadi saya yang menjalankan Ubuntu, seharusnya tidak ada orang lain di sistem saya. Karena panik, saya berlari sudo pkill -9 -u guest-g20zoo
dan menonaktifkan Networking dan Wifi
Saya mencari /var/log/auth.log
dan menemukan ini:
Apr 27 06:55:55 Rho useradd[23872]: new group: name=guest-g20zoo, GID=999
Apr 27 06:55:55 Rho useradd[23872]: new user: name=guest-g20zoo, UID=999, GID=999, home=/tmp/guest-g20zoo, shell=/bin/bash
Apr 27 06:55:55 Rho su[23881]: Successful su for guest-g20zoo by root
Apr 27 06:55:55 Rho su[23881]: + ??? root:guest-g20zoo
Apr 27 06:55:55 Rho su[23881]: pam_unix(su:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd-logind[767]: New session c3 of user guest-g20zoo.
Apr 27 06:55:56 Rho su[23881]: pam_unix(su:session): session closed for user guest-g20zoo
Apr 27 06:55:56 Rho systemd-logind[767]: Removed session c3.
Apr 27 06:55:56 Rho lightdm: pam_unix(lightdm-autologin:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session closed for user guest-g20zoo
Apr 27 06:55:56 Rho systemd-logind[767]: New session c4 of user guest-g20zoo.
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:56:51 Rho pkexec: pam_unix(polkit-1:session): session opened for user root by (uid=1000)
Apr 27 06:56:51 Rho pkexec: pam_systemd(polkit-1:session): Cannot create session: Already running in a session
Maaf, ini banyak hasil, tapi itulah sebagian besar aktivitas dari guest-g20zoo di log, semua dalam beberapa menit.
Saya juga memeriksa /etc/passwd
:
guest-G4J7WQ:x:120:132:Guest,,,:/tmp/guest-G4J7WQ:/bin/bash
Dan /etc/shadow
:
root:!:16669:0:99999:7:::
daemon:*:16547:0:99999:7:::
.
.
.
nobody:*:16547:0:99999:7:::
rhobot:$6$encrypted-passwd-cut-for-length.:16918:0:99999:7:::
guest-G4J7WQ:*:16689:0:99999:7:::
.
.
Saya tidak sepenuhnya mengerti apa arti output ini untuk situasi saya. Apakah guest-g20zoo
dan guest-G4J7WQ
pengguna yang sama?
lastlog
menunjukkan:
guest-G4J7WQ Never logged in
Namun, last
menunjukkan:
guest-g20zoo Wed Apr 27 06:55 - 20:33 (13:37)
Jadi sepertinya mereka bukan pengguna yang sama, tetapi guest-g20zoo tidak ditemukan di output lastlog
.
Saya ingin memblokir akses untuk pengguna guest-g20zoo tetapi karena dia tidak muncul /etc/shadow
dan saya berasumsi tidak menggunakan kata sandi untuk masuk, tetapi menggunakan ssh, apakah akan passwd -l guest-g20zoo
berfungsi?
Saya mencoba systemctl stop sshd
, tetapi mendapat pesan kesalahan ini:
Failed to stop sshd.service: Unit sshd.service not loaded
Apakah ini berarti login jarak jauh sudah dinonaktifkan pada sistem saya, dan oleh karena itu perintah di atas berlebihan?
Saya telah mencoba mencari informasi lebih lanjut tentang pengguna baru ini, seperti apa alamat ip yang mereka gunakan untuk masuk, tetapi sepertinya saya tidak dapat menemukan apa pun.
Beberapa informasi yang berpotensi relevan:
Saat ini saya terhubung ke jaringan universitas saya, dan ikon WiFi saya terlihat baik-baik saja, saya dapat melihat semua opsi jaringan saya, dan tidak ada browser aneh yang muncul sendiri. Apakah ini menunjukkan bahwa siapa pun yang masuk ke sistem saya berada dalam jangkauan router WiFi saya di rumah saya?
Saya berlari chkrootkit
dan semuanya tampak baik-baik saja, tetapi saya juga tidak tahu bagaimana menafsirkan semua hasil. Saya tidak tahu apa yang harus saya lakukan di sini. Saya hanya ingin benar-benar yakin orang ini (atau orang lain dalam hal ini) tidak akan pernah dapat mengakses sistem saya lagi dan saya ingin menemukan dan menghapus file tersembunyi yang dibuat oleh mereka. Silahkan dan terima kasih!
PS - Saya sudah mengganti kata sandi dan mengenkripsi file penting saya sementara WiFi dan Jaringan dinonaktifkan.
sshd
setelah nama server, tapi saya setuju bahwa menghapus informasi itu tetapi masih meninggalkan jejak sendiri aneh. Apakah ada cara lain untuk memeriksa jejak bahwa seseorang saya telah ssh'd ke sistem saya?
sshd
setelah nama server? Jika tidak maka pasti tidak ada akses ssh .. kecuali mereka membersihkan bagian log itu, dan tidak repot membersihkan entri lain, yang akan aneh.