Estoy 99.9% seguro de que mi sistema en mi computadora personal ha sido infiltrado. Permítanme primero dar mi razonamiento para que la situación sea clara:
Cronología aproximada de actividad sospechosa y acciones posteriores tomadas:
4-26 23:00
Terminé todos los programas y cerré mi computadora portátil.
4-27 12:00
Abrí mi computadora portátil después de haber estado en modo de suspensión durante aproximadamente 13 horas. Se abrieron varias ventanas, incluidas: dos ventanas cromadas, configuración del sistema, centro de software. En mi escritorio había un instalador de git (lo comprobé, no se ha instalado).
4-27 13:00 El
historial de Chrome muestra los inicios de sesión en mi correo electrónico y otro historial de búsqueda que no inicié (entre la 01:00 y las 03:00 del 4-27), incluida la "instalación de git". Había una pestaña, Digital Ocean "Cómo personalizar su bash prompt" abierta en mi navegador. Se volvió a abrir varias veces después de que lo cerré. Apreté la seguridad en Chrome.
Me desconecté de WiFi, pero cuando volví a conectar había un símbolo de flecha hacia arriba y hacia abajo en lugar del símbolo estándar, y ya no había una lista de redes en el menú desplegable para Wifi
En 'Editar conexiones' noté que mi computadora portátil se había conectado a una red llamada "GFiberSetup 1802" a ~ 05: 30 en 4-27. Mis vecinos de 1802 xx Drive acababan de instalar Google Fiber, así que supongo que está relacionado.
4-27 20:30
El who
comando reveló que un segundo usuario llamado guest-g20zoo había iniciado sesión en mi sistema. Esta es mi computadora portátil privada que ejecuta Ubuntu, no debería haber nadie más en mi sistema. En pánico, corrí sudo pkill -9 -u guest-g20zoo
y deshabilité Redes y Wifi
Miré /var/log/auth.log
y encontré esto:
Apr 27 06:55:55 Rho useradd[23872]: new group: name=guest-g20zoo, GID=999
Apr 27 06:55:55 Rho useradd[23872]: new user: name=guest-g20zoo, UID=999, GID=999, home=/tmp/guest-g20zoo, shell=/bin/bash
Apr 27 06:55:55 Rho su[23881]: Successful su for guest-g20zoo by root
Apr 27 06:55:55 Rho su[23881]: + ??? root:guest-g20zoo
Apr 27 06:55:55 Rho su[23881]: pam_unix(su:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd-logind[767]: New session c3 of user guest-g20zoo.
Apr 27 06:55:56 Rho su[23881]: pam_unix(su:session): session closed for user guest-g20zoo
Apr 27 06:55:56 Rho systemd-logind[767]: Removed session c3.
Apr 27 06:55:56 Rho lightdm: pam_unix(lightdm-autologin:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session closed for user guest-g20zoo
Apr 27 06:55:56 Rho systemd-logind[767]: New session c4 of user guest-g20zoo.
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:56:51 Rho pkexec: pam_unix(polkit-1:session): session opened for user root by (uid=1000)
Apr 27 06:56:51 Rho pkexec: pam_systemd(polkit-1:session): Cannot create session: Already running in a session
Lo siento, es una gran cantidad de resultados, pero esa es la mayor parte de la actividad de guest-g20zoo en el registro, todo en un par de minutos.
También revisé /etc/passwd
:
guest-G4J7WQ:x:120:132:Guest,,,:/tmp/guest-G4J7WQ:/bin/bash
Y /etc/shadow
:
root:!:16669:0:99999:7:::
daemon:*:16547:0:99999:7:::
.
.
.
nobody:*:16547:0:99999:7:::
rhobot:$6$encrypted-passwd-cut-for-length.:16918:0:99999:7:::
guest-G4J7WQ:*:16689:0:99999:7:::
.
.
No entiendo completamente lo que significa esta salida para mi situación. ¿Son guest-g20zoo
y guest-G4J7WQ
el mismo usuario?
lastlog
muestra:
guest-G4J7WQ Never logged in
Sin embargo, last
muestra:
guest-g20zoo Wed Apr 27 06:55 - 20:33 (13:37)
Por lo tanto, parece que no son el mismo usuario, pero guest-g20zoo no se encontraba en ninguna parte en la salida de lastlog
.
Me gustaría bloquear el acceso para el usuario guest-g20zoo, pero dado que no aparece /etc/shadow
y supongo que no usa una contraseña para iniciar sesión, pero usa ssh, ¿ passwd -l guest-g20zoo
funcionará?
Lo intenté systemctl stop sshd
, pero recibí este mensaje de error:
Failed to stop sshd.service: Unit sshd.service not loaded
¿Esto significa que el inicio de sesión remoto ya estaba desactivado en mi sistema y, por lo tanto, el comando anterior es redundante?
Intenté encontrar más información sobre este nuevo usuario, como desde qué dirección IP iniciaron sesión, pero parece que no puedo encontrar nada.
Alguna información potencialmente relevante:
actualmente estoy conectado a la red de mi universidad, y mi icono de WiFi se ve bien, puedo ver todas mis opciones de red, y no hay ningún navegador extraño que aparezca por sí solo. ¿Esto indica que quien inicia sesión en mi sistema está dentro del alcance de mi enrutador WiFi en mi casa?
Corrí chkrootkit
y todo parecía estar bien, pero tampoco sé cómo interpretar todo el resultado. Realmente no sé qué hacer aquí. Solo quiero estar absolutamente seguro de que esta persona (o cualquier otra persona) nunca más podrá acceder a mi sistema y quiero encontrar y eliminar cualquier archivo oculto creado por ellos. ¡Por favor y gracias!
PD: ya cambié mi contraseña y cifré mis archivos importantes mientras WiFi y redes estaban deshabilitados.
sshd
después del nombre del servidor, pero estoy de acuerdo en que eliminar esa información pero dejar rastros de sí mismos es extraño. ¿Hay alguna otra forma de verificar si hay algún rastro que mi alguien ha enviado a mi sistema?
sshd
después del nombre del servidor? Si no, entonces definitivamente no ha habido acceso ssh ... a menos que limpiaran esa parte del registro y no se molestaran en limpiar las otras entradas, lo que sería extraño.