व्यक्तिगत कंप्यूटर हैक किया गया: मैं इस उपयोगकर्ता को फिर से लॉग इन करने से कैसे रोकूँ? मुझे कैसे पता चलेगा कि वे कैसे लॉग इन कर रहे हैं?

मुझे 99.9% यकीन है कि मेरे पर्सनल कंप्यूटर पर मेरे सिस्टम में घुसपैठ हुई है। मुझे पहले अपना तर्क देने की अनुमति दें ताकि स्थिति स्पष्ट हो जाए:

संदिग्ध गतिविधि की पर्याप्त समयरेखा और बाद में की गई कार्रवाइयां:

4-26 23:00
मैंने सभी कार्यक्रम समाप्त कर दिए और अपना लैपटॉप बंद कर दिया।

4-27 12:00
मैंने अपना लैपटॉप तब खोला जब वह लगभग 13 घंटे तक सस्पेंड मोड में था। कई विंडो खुली थीं जिनमें शामिल हैं: दो क्रोम विंडो, सिस्टम सेटिंग्स, सॉफ्टवेयर सेंटर। मेरे डेस्कटॉप पर एक गिट इंस्टॉलर था (मैंने चेक किया, यह इंस्टॉल नहीं हुआ है)।

4-27 13:00
क्रोम इतिहास ने मेरे ईमेल और अन्य खोज इतिहास में लॉगिन दिखाया, जिसे मैंने "जीआईटी स्थापित करने" सहित (4:00 पर 01:00 से 03:00 के बीच) शुरू नहीं किया था। मेरे ब्राउज़र में एक टैब था, डिजिटल महासागर "कैसे अपने बैश प्रॉम्प को अनुकूलित करें"। मैंने इसे बंद करने के बाद इसे कई बार फिर से खोला। मैंने Chrome में सुरक्षा कड़ी कर दी है।

मैंने वाईफाई से डिस्कनेक्ट कर दिया था, लेकिन जब मैंने फिर से कनेक्ट किया, तो मानक प्रतीक के बजाय एक अप-डाउन एरो प्रतीक था, और वाईफाई के
तहत ड्रॉप डाउन मेनू में नेटवर्क की कोई सूची नहीं थी 'एडिट कनेक्शंस' के तहत मैंने देखा कि मेरा लैपटॉप कनेक्ट हो गया था 4-27 पर ~ 05: 30 में "GFiberSetup 1802" नामक नेटवर्क पर। 1802 xx ड्राइव पर मेरे पड़ोसियों में सिर्फ Google फाइबर स्थापित था, इसलिए मैं अनुमान लगा रहा हूं कि यह संबंधित है।

4-27 20:30 आदेश से पता चला कि एक दूसरे उपयोगकर्ता नामित अतिथि-g20zoo अपने सिस्टम में लॉग इन किया गया था। यह मेरा निजी लैपटॉप है जो उबंटू चलाता है, मेरे सिस्टम पर कोई और नहीं होना चाहिए। पैंटिंग, मैं भागा और अक्षम नेटवर्किंग और वाईफाई
whosudo pkill -9 -u guest-g20zoo

मैंने इसे देखा /var/log/auth.logऔर पाया:

Apr 27 06:55:55 Rho useradd[23872]: new group: name=guest-g20zoo, GID=999  
Apr 27 06:55:55 Rho useradd[23872]: new user: name=guest-g20zoo, UID=999, GID=999, home=/tmp/guest-g20zoo, shell=/bin/bash    
Apr 27 06:55:55 Rho su[23881]: Successful su for guest-g20zoo by root  
Apr 27 06:55:55 Rho su[23881]: + ??? root:guest-g20zoo  
Apr 27 06:55:55 Rho su[23881]: pam_unix(su:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd-logind[767]: New session c3 of user guest-g20zoo.  
Apr 27 06:55:56 Rho su[23881]: pam_unix(su:session): session closed for user guest-g20zoo  
Apr 27 06:55:56 Rho systemd-logind[767]: Removed session c3.  
Apr 27 06:55:56 Rho lightdm: pam_unix(lightdm-autologin:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session closed for user guest-g20zoo  
Apr 27 06:55:56 Rho systemd-logind[767]: New session c4 of user guest-g20zoo.  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:56:51 Rho pkexec: pam_unix(polkit-1:session): session opened for user root by (uid=1000)  
Apr 27 06:56:51 Rho pkexec: pam_systemd(polkit-1:session): Cannot create session: Already running in a session

क्षमा करें यह बहुत अधिक आउटपुट है, लेकिन यह एक-दो मिनट के भीतर लॉग-इन में अतिथि-g20zoo से सक्रिय हो जाता है।

मैंने भी जाँच की /etc/passwd:

guest-G4J7WQ:x:120:132:Guest,,,:/tmp/guest-G4J7WQ:/bin/bash

और /etc/shadow:

root:!:16669:0:99999:7:::  
daemon:*:16547:0:99999:7:::  
.  
.  
.   
nobody:*:16547:0:99999:7:::  
rhobot:$6$encrypted-passwd-cut-for-length.:16918:0:99999:7:::  
guest-G4J7WQ:*:16689:0:99999:7:::  
.  
.

मुझे पूरी तरह से समझ में नहीं आता कि मेरी स्थिति के लिए इस आउटपुट का क्या मतलब है। कर रहे हैं guest-g20zooऔर guest-G4J7WQएक ही उपयोगकर्ता हैं?

lastlog दिखाता है:

guest-G4J7WQ      Never logged in

हालाँकि, lastदिखाता है:

guest-g20zoo      Wed Apr 27 06:55 - 20:33 (13:37)

तो ऐसा लगता है कि वे एक ही उपयोगकर्ता नहीं हैं, लेकिन गेस्ट-जी 20 ज़ू के आउटपुट में कहीं नहीं पाया गया है lastlog।

मैं उपयोगकर्ता अतिथि-g20zoo के लिए पहुँच को अवरुद्ध करना चाहूंगा लेकिन जब से वह दिखाई नहीं देता है /etc/shadowऔर मैं मान रहा हूँ कि वह लॉगिन करने के लिए पासवर्ड का उपयोग नहीं करता है, लेकिन ssh का उपयोग करता है, passwd -l guest-g20zooकाम करेगा ?

मैंने कोशिश की systemctl stop sshd, लेकिन यह त्रुटि संदेश मिला:

Failed to stop sshd.service: Unit sshd.service not loaded

क्या इसका मतलब यह है कि दूरस्थ लॉगिन पहले से ही मेरे सिस्टम पर अक्षम था, और इसलिए उपरोक्त आदेश बेमानी है?

मैंने इस नए उपयोगकर्ता के बारे में अधिक जानकारी प्राप्त करने की कोशिश की है, जैसे कि वे किस आईपी पते से लॉग इन करते हैं, लेकिन मुझे कुछ भी नहीं मिल रहा है।

कुछ संभावित प्रासंगिक जानकारी:
वर्तमान में मैं अपने विश्वविद्यालय के नेटवर्क से जुड़ा हुआ हूं, और मेरा वाईफाई आइकन ठीक है, मैं अपने सभी नेटवर्क विकल्प देख सकता हूं, और कोई भी अजीब ब्राउज़र अपने आप से पॉप अप नहीं हो रहा है। क्या यह इंगित करता है कि जो कोई भी मेरे सिस्टम में लॉग इन कर रहा है वह मेरे घर पर मेरे वाईफाई राउटर की सीमा के भीतर है?

मैं भाग गया chkrootkitऔर सब कुछ ठीक लग रहा था , लेकिन मुझे यह भी नहीं पता कि सभी आउटपुट की व्याख्या कैसे करें। मैं वास्तव में नहीं जानता कि यहाँ क्या करना है। मैं बस यह सुनिश्चित करना चाहता हूं कि यह व्यक्ति (या उस मामले के लिए कोई और) कभी भी मेरे सिस्टम तक नहीं पहुंच पाएगा और मैं उनके द्वारा बनाई गई किसी भी छिपी हुई फाइल को ढूंढना और निकालना चाहता हूं। कृपया और धन्यवाद!

PS - मैंने पहले से ही अपना पासवर्ड बदल दिया है और अपनी महत्वपूर्ण फाइलों को एन्क्रिप्ट कर लिया है, जबकि वाईफाई और नेटवर्किंग अक्षम हैं।

ऐसा लगता है कि किसी ने आपके लैपटॉप पर एक अतिथि सत्र खोला, जबकि आप अपने कमरे से दूर हैं। अगर मैं ऐसा होता तो मैं चारों ओर से पूछता, वह दोस्त हो सकता है।

जिन अतिथि खातों को आप देखते हैं /etc/passwdऔर /etc/shadowमेरे लिए संदिग्ध नहीं हैं, वे सिस्टम द्वारा बनाए जाते हैं जब कोई अतिथि सत्र खोलता है।

अप्रैल 27 06:55:55 Rho su [23881]: रूट द्वारा अतिथि-g20zoo के लिए सफल र

इस लाइन का मतलब rootअतिथि खाते तक पहुंच है, जो सामान्य हो सकता है लेकिन इसकी जांच होनी चाहिए। मैंने अपने ubuntu1404LTS पर कोशिश की है और यह व्यवहार नहीं देखता। आपको अतिथि सत्र के साथ लॉगिन करने का प्रयास करना चाहिए और auth.logयह देखने के लिए कि क्या यह पंक्ति हर बार अतिथि उपयोगकर्ता लॉग इन करती है, यह देखने के लिए आपको grep चाहिए ।

क्रोम की सभी खुली हुई खिड़कियाँ, जिन्हें आपने अपने लैपटॉप को खोलने पर देखा है। क्या यह संभव है कि आप अतिथि सत्र डेस्कटॉप देख रहे थे?

हार्ड ड्राइव को पोंछें और अपने ऑपरेटिंग सिस्टम को खरोंच से पुनर्स्थापित करें।

अनधिकृत पहुंच के किसी भी मामले में संभावना है कि हमलावर रूट विशेषाधिकार प्राप्त करने में सक्षम था, इसलिए यह मानने के लिए समझदार है कि यह हुआ है। इस स्थिति में, यह पुष्टि करने के लिए कि यह वास्तव में मामला था - जब तक कि आप उपयोगकर्ता को स्विच कर चुके हैं , तो यह प्रमाणित होता है।

अप्रैल 27 06:55:55 Rho su [23881]: रूट द्वारा अतिथि-g20zoo के लिए सफल र

विशेष रूप से रूट विशेषाधिकारों के साथ, उन्होंने सिस्टम के साथ उन तरीकों से खिलवाड़ किया हो सकता है जो बिना किसी पुनर्स्थापना के ठीक करने के लिए व्यावहारिक रूप से असंभव हैं, जैसे बूट स्क्रिप्ट को संशोधित करके या बूट पर चलने वाली नई स्क्रिप्ट और एप्लिकेशन इंस्टॉल करना, और इसी तरह। ये अनधिकृत नेटवर्क सॉफ़्टवेयर चलाने के लिए (जैसे कि एक बोटनेट का हिस्सा बनाने के लिए) कर सकते हैं, या आपके सिस्टम में बैकडोर छोड़ सकते हैं। एक पुनर्स्थापना के बिना इस तरह की चीज़ का पता लगाने और उसकी मरम्मत करने की कोशिश करना सबसे अच्छा है, और आपको हर चीज से छुटकारा पाने की गारंटी नहीं है।

मैं केवल यह उल्लेख करना चाहता हूं कि "कई ब्राउज़र टैब / विंडोज़ खुले, सॉफ्टवेयर सेंटर खुले, डेस्कटॉप पर डाउनलोड की गई फाइलें" एसएसएच के माध्यम से आपके मशीन में किसी को लॉग इन करने के लिए बहुत अनुरूप नहीं हैं। SSH के माध्यम से लॉग करने वाले हमलावर को एक टेक्स्ट कंसोल मिलेगा जो आपके डेस्कटॉप पर दिखाई देने वाली चीज़ों से पूरी तरह से अलग है। उन्हें आपके डेस्कटॉप सत्र से "git कैसे इंस्टॉल करें" Google की आवश्यकता नहीं होगी क्योंकि वे अपने स्वयं के कंप्यूटर के सामने बैठे होंगे, है ना? यहां तक ​​कि अगर वे Git (क्यों?) स्थापित करना चाहते हैं, तो उन्हें इंस्टॉलर डाउनलोड करने की आवश्यकता नहीं होगी क्योंकि Git उबंटू रिपॉजिटरी में है, जो कोई भी Git या Ubuntu के बारे में कुछ भी जानता है वह जानता है। और उन्हें Google को bash प्रॉम्प्ट को कस्टमाइज़ करने के लिए क्यों करना पड़ा?

मुझे यह भी संदेह है कि "मेरे ब्राउज़र में एक टैब ... खुला था। मैंने इसे बंद करने के बाद इसे कई बार फिर से खोल दिया" वास्तव में कई समान टैब खुले थे इसलिए आपको उन्हें एक-एक करके बंद करना पड़ा।

मैं यहाँ जो कहना चाह रहा हूँ वह यह है कि गतिविधि का पैटर्न "बंदर के साथ टाइपराइटर" जैसा दिखता है।

आपने यह भी उल्लेख नहीं किया है कि आपके पास एसएसएच सर्वर भी स्थापित है - यह डिफ़ॉल्ट रूप से स्थापित नहीं है।

इसलिए, यदि आप पूरी तरह से सुनिश्चित हैं कि आपके ज्ञान के बिना किसी को भी आपके लैपटॉप की भौतिक पहुंच नहीं है , और आपके लैपटॉप में टचस्क्रीन है, और यह ठीक से निलंबित नहीं होता है, और यह आपके बैकपैक में कुछ समय बिताता है, तो मुझे लगता है कि यह सब बस एक हो सकता है "पॉकेट कॉलिंग" का मामला - खोज सुझावों और ऑटो-करेक्शन के साथ रैंडम स्क्रीन टच ने कई विंडो खोली और रैंडम लिंक पर क्लिक करके और रैंडम फाइल्स डाउनलोड करने के लिए गूगल सर्च किया।

एक व्यक्तिगत उपाख्यान के रूप में - यह मेरी जेब में मेरे स्मार्टफोन के साथ समय-समय पर होता है, जिसमें कई ऐप खोलना, सिस्टम सेटिंग्स बदलना, अर्ध-सुसंगत एसएमएस संदेश भेजना और यादृच्छिक यूट्यूब वीडियो देखना शामिल है।

क्या आपके पास कोई ऐसा दोस्त है जो आपके लैपटॉप से ​​दूर जाने के दौरान / शारीरिक रूप से एक्सेस करना पसंद करता है? अगर नहीं:

डीबैन के साथ एचडीडी पोंछें और ओएस को खरोंच से पुनर्स्थापित करें। पहले बैकअप लेना सुनिश्चित करें।

उबंटू के भीतर ही कुछ गंभीर रूप से समझौता हो सकता है। जब आप पुन: स्थापित करते हैं:

एन्क्रिप्ट करें /home। यदि HDD / लैपटॉप स्वयं कभी शारीरिक रूप से चोरी हो जाता है, तो वे डेटा तक पहुंच प्राप्त नहीं कर सकते हैं /home।

HDD को एन्क्रिप्ट करें। यह लोगों /bootको लॉग-इन किए बिना समझौता करने से रोकता है। आपको बूट-टाइम पासवर्ड भी दर्ज करना होगा (मुझे लगता है)।

एक मजबूत पासवर्ड सेट करें। यदि कोई व्यक्ति HDD पासवर्ड का पता लगाता है, तो वे एक्सेस /homeया लॉगिन नहीं कर सकते हैं ।

अपने वाईफाई को एन्क्रिप्ट करें। हो सकता है कि किसी ने राउटर की निकटता के भीतर मिल गया हो और अनएन्क्रिप्टेड Wifi का लाभ उठाया हो और आपके लैपटॉप में ssh'd हो।

अतिथि खाते को अक्षम करें। हमलावर आपके लैपटॉप में ssh'd हो सकता है, एक दूरस्थ कनेक्शन प्राप्त कर सकता है, अतिथि के माध्यम से लॉग इन किया, और अतिथि खाते को रूट करने के लिए ऊंचा कर दिया। यह एक खतरनाक स्थिति है। यदि ऐसा हुआ, तो हमलावर इस बहुत खतरनाक कमांड को चला सकता है :

rm -rf --no-preserve-root / 

यह एचडीडी पर डेटा का एक बहुत मिटा देता है , ट्रैश /homeऔर इससे भी बदतर, उबंटू को पूरी तरह से बूट करने में असमर्थ छोड़ देता है। आप बस ग्रब बचाव में फेंक दिए जाएंगे, और आप इससे उबर नहीं पाएंगे। हमलावर /homeनिर्देशिका को पूरी तरह से नष्ट कर सकता है , और इसी तरह। यदि आपके पास एक होम नेटवर्क है, तो हमलावर उस नेटवर्क पर अन्य सभी कंप्यूटरों को बूट करने में असमर्थ हो सकता है (यदि वे लिनक्स चलाते हैं)।

आशा है कि ये आपकी मदद करेगा। :)

"संदिग्ध" गतिविधि को निम्नलिखित द्वारा समझाया गया है: ढक्कन बंद होने पर मेरा लैपटॉप अब निलंबित नहीं होता है, लैपटॉप एक टच स्क्रीन है और इसे लागू दबाव (संभवतः मेरी बिल्लियां) पर प्रतिक्रिया दी जाती है। से प्रदान की गई लाइनें /var/log/auth.logऔर whoकमांड का आउटपुट अतिथि सत्र लॉगिन के अनुरूप हैं। जबकि मैंने अभिवादन से अतिथि सत्र को निष्क्रिय कर दिया था, यह अभी भी यूनिटी डे में ऊपरी दाहिने हाथ के कोने में ड्रॉप डाउन मेनू से सुलभ है। लॉग इन करते समय एर्गो, एक अतिथि सत्र खोला जा सकता है।

मैंने "लागू दबाव" सिद्धांत का परीक्षण किया है; ढक्कन बंद होने के दौरान खिड़कियां खुली और खुली रह सकती हैं। मैंने नए अतिथि सत्र में भी प्रवेश किया। /var/log/auth.logमेरे द्वारा ऐसा करने के बाद संदेहास्पद गतिविधि के रूप में जो मैंने माना था, उसके समान लॉग लाइनें । मैंने उपयोगकर्ताओं को स्विच किया, मेरे खाते में वापस लौटा, और whoकमांड चलाया - आउटपुट ने संकेत दिया कि सिस्टम में एक अतिथि लॉग इन था।

ऊपर-नीचे तीर वाईफाई लोगो मानक वाईफाई लोगो पर वापस आ गया है, और सभी उपलब्ध कनेक्शन दिखाई दे रहे हैं। यह हमारे नेटवर्क के साथ एक समस्या थी, और असंबंधित है।

वायरलेस कार्ड / स्टिक को बाहर निकालें और निशान देखें। अपने लॉग का रिकॉर्ड बनाएं ताकि आस्कबंटू आगे मदद कर सके। उसके बाद अपने ड्राइव मिटाएं और एक अलग डिस्ट्रो की कोशिश करें, लाइव सीडी को यह देखने के लिए चलाएं कि यह देखने के लिए है कि क्या हमलों के लिए एक पैटर्न है।