मुझे 99.9% यकीन है कि मेरे पर्सनल कंप्यूटर पर मेरे सिस्टम में घुसपैठ हुई है। मुझे पहले अपना तर्क देने की अनुमति दें ताकि स्थिति स्पष्ट हो जाए:
संदिग्ध गतिविधि की पर्याप्त समयरेखा और बाद में की गई कार्रवाइयां:
4-26 23:00
मैंने सभी कार्यक्रम समाप्त कर दिए और अपना लैपटॉप बंद कर दिया।
4-27 12:00
मैंने अपना लैपटॉप तब खोला जब वह लगभग 13 घंटे तक सस्पेंड मोड में था। कई विंडो खुली थीं जिनमें शामिल हैं: दो क्रोम विंडो, सिस्टम सेटिंग्स, सॉफ्टवेयर सेंटर। मेरे डेस्कटॉप पर एक गिट इंस्टॉलर था (मैंने चेक किया, यह इंस्टॉल नहीं हुआ है)।
4-27 13:00
क्रोम इतिहास ने मेरे ईमेल और अन्य खोज इतिहास में लॉगिन दिखाया, जिसे मैंने "जीआईटी स्थापित करने" सहित (4:00 पर 01:00 से 03:00 के बीच) शुरू नहीं किया था। मेरे ब्राउज़र में एक टैब था, डिजिटल महासागर "कैसे अपने बैश प्रॉम्प को अनुकूलित करें"। मैंने इसे बंद करने के बाद इसे कई बार फिर से खोला। मैंने Chrome में सुरक्षा कड़ी कर दी है।
मैंने वाईफाई से डिस्कनेक्ट कर दिया था, लेकिन जब मैंने फिर से कनेक्ट किया, तो मानक प्रतीक के बजाय एक अप-डाउन एरो प्रतीक था, और वाईफाई के
तहत ड्रॉप डाउन मेनू में नेटवर्क की कोई सूची नहीं थी 'एडिट कनेक्शंस' के तहत मैंने देखा कि मेरा लैपटॉप कनेक्ट हो गया था 4-27 पर ~ 05: 30 में "GFiberSetup 1802" नामक नेटवर्क पर। 1802 xx ड्राइव पर मेरे पड़ोसियों में सिर्फ Google फाइबर स्थापित था, इसलिए मैं अनुमान लगा रहा हूं कि यह संबंधित है।
4-27 20:30 आदेश से पता चला कि एक दूसरे उपयोगकर्ता नामित अतिथि-g20zoo अपने सिस्टम में लॉग इन किया गया था। यह मेरा निजी लैपटॉप है जो उबंटू चलाता है, मेरे सिस्टम पर कोई और नहीं होना चाहिए। पैंटिंग, मैं भागा और अक्षम नेटवर्किंग और वाईफाईwho
sudo pkill -9 -u guest-g20zoo
मैंने इसे देखा /var/log/auth.log
और पाया:
Apr 27 06:55:55 Rho useradd[23872]: new group: name=guest-g20zoo, GID=999
Apr 27 06:55:55 Rho useradd[23872]: new user: name=guest-g20zoo, UID=999, GID=999, home=/tmp/guest-g20zoo, shell=/bin/bash
Apr 27 06:55:55 Rho su[23881]: Successful su for guest-g20zoo by root
Apr 27 06:55:55 Rho su[23881]: + ??? root:guest-g20zoo
Apr 27 06:55:55 Rho su[23881]: pam_unix(su:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd-logind[767]: New session c3 of user guest-g20zoo.
Apr 27 06:55:56 Rho su[23881]: pam_unix(su:session): session closed for user guest-g20zoo
Apr 27 06:55:56 Rho systemd-logind[767]: Removed session c3.
Apr 27 06:55:56 Rho lightdm: pam_unix(lightdm-autologin:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session closed for user guest-g20zoo
Apr 27 06:55:56 Rho systemd-logind[767]: New session c4 of user guest-g20zoo.
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:56:51 Rho pkexec: pam_unix(polkit-1:session): session opened for user root by (uid=1000)
Apr 27 06:56:51 Rho pkexec: pam_systemd(polkit-1:session): Cannot create session: Already running in a session
क्षमा करें यह बहुत अधिक आउटपुट है, लेकिन यह एक-दो मिनट के भीतर लॉग-इन में अतिथि-g20zoo से सक्रिय हो जाता है।
मैंने भी जाँच की /etc/passwd
:
guest-G4J7WQ:x:120:132:Guest,,,:/tmp/guest-G4J7WQ:/bin/bash
और /etc/shadow
:
root:!:16669:0:99999:7:::
daemon:*:16547:0:99999:7:::
.
.
.
nobody:*:16547:0:99999:7:::
rhobot:$6$encrypted-passwd-cut-for-length.:16918:0:99999:7:::
guest-G4J7WQ:*:16689:0:99999:7:::
.
.
मुझे पूरी तरह से समझ में नहीं आता कि मेरी स्थिति के लिए इस आउटपुट का क्या मतलब है। कर रहे हैं guest-g20zoo
और guest-G4J7WQ
एक ही उपयोगकर्ता हैं?
lastlog
दिखाता है:
guest-G4J7WQ Never logged in
हालाँकि, last
दिखाता है:
guest-g20zoo Wed Apr 27 06:55 - 20:33 (13:37)
तो ऐसा लगता है कि वे एक ही उपयोगकर्ता नहीं हैं, लेकिन गेस्ट-जी 20 ज़ू के आउटपुट में कहीं नहीं पाया गया है lastlog
।
मैं उपयोगकर्ता अतिथि-g20zoo के लिए पहुँच को अवरुद्ध करना चाहूंगा लेकिन जब से वह दिखाई नहीं देता है /etc/shadow
और मैं मान रहा हूँ कि वह लॉगिन करने के लिए पासवर्ड का उपयोग नहीं करता है, लेकिन ssh का उपयोग करता है, passwd -l guest-g20zoo
काम करेगा ?
मैंने कोशिश की systemctl stop sshd
, लेकिन यह त्रुटि संदेश मिला:
Failed to stop sshd.service: Unit sshd.service not loaded
क्या इसका मतलब यह है कि दूरस्थ लॉगिन पहले से ही मेरे सिस्टम पर अक्षम था, और इसलिए उपरोक्त आदेश बेमानी है?
मैंने इस नए उपयोगकर्ता के बारे में अधिक जानकारी प्राप्त करने की कोशिश की है, जैसे कि वे किस आईपी पते से लॉग इन करते हैं, लेकिन मुझे कुछ भी नहीं मिल रहा है।
कुछ संभावित प्रासंगिक जानकारी:
वर्तमान में मैं अपने विश्वविद्यालय के नेटवर्क से जुड़ा हुआ हूं, और मेरा वाईफाई आइकन ठीक है, मैं अपने सभी नेटवर्क विकल्प देख सकता हूं, और कोई भी अजीब ब्राउज़र अपने आप से पॉप अप नहीं हो रहा है। क्या यह इंगित करता है कि जो कोई भी मेरे सिस्टम में लॉग इन कर रहा है वह मेरे घर पर मेरे वाईफाई राउटर की सीमा के भीतर है?
मैं भाग गया chkrootkit
और सब कुछ ठीक लग रहा था , लेकिन मुझे यह भी नहीं पता कि सभी आउटपुट की व्याख्या कैसे करें। मैं वास्तव में नहीं जानता कि यहाँ क्या करना है। मैं बस यह सुनिश्चित करना चाहता हूं कि यह व्यक्ति (या उस मामले के लिए कोई और) कभी भी मेरे सिस्टम तक नहीं पहुंच पाएगा और मैं उनके द्वारा बनाई गई किसी भी छिपी हुई फाइल को ढूंढना और निकालना चाहता हूं। कृपया और धन्यवाद!
PS - मैंने पहले से ही अपना पासवर्ड बदल दिया है और अपनी महत्वपूर्ण फाइलों को एन्क्रिप्ट कर लिया है, जबकि वाईफाई और नेटवर्किंग अक्षम हैं।
sshd
सर्वर नाम के बाद की हैं, लेकिन मैं मानता हूँ कि उस जानकारी को हटा देना चाहिए लेकिन फिर भी खुद के निशान छोड़ना अजीब है। क्या किसी अन्य तरीके से जांच के लिए कोई रास्ता है कि मेरे किसी ने मेरे सिस्टम में ssh'd है?
sshd
सर्वर के नाम के बाद वाले लॉग में कोई प्रविष्टियाँ हैं ? यदि नहीं, तो निश्चित रूप से कोई ssh एक्सेस नहीं है .. जब तक कि वे लॉग के उस हिस्से को साफ नहीं करते हैं, और अन्य प्रविष्टियों को साफ करने में परेशान नहीं होते हैं, जो अजीब होगा।