개인 컴퓨터의 시스템에 침투 한 것으로 99.9 % 확신합니다. 상황을 분명히하기 위해 먼저 내 추론을하도록하겠습니다.
의심스러운 활동 및 후속 조치에 대한 대략적인 타임 라인 :
4-26 23:00
모든 프로그램을 끝내고 랩톱을 닫았습니다.
4-27 12:00
노트북을 약 13 시간 동안 일시 중단 모드로 전환 한 후 열었습니다. 두 개의 크롬 창, 시스템 설정, 소프트웨어 센터를 포함한 여러 개의 창이 열렸습니다. 내 데스크탑에는 git 설치 프로그램이 있습니다 (확인했지만 설치되지 않았습니다).
4-27 13:00
Chrome 기록에 내 이메일에 대한 로그인 정보와 "git 설치"를 포함하여 시작하지 않은 다른 검색 기록 (4-27의 01:00 ~ 03:00 사이)이 표시되었습니다. 브라우저에 Digital Ocean "bash 프롬프트를 사용자 정의하는 방법"탭이 열려있었습니다. 닫은 후 여러 번 다시 열었습니다. Chrome에서 보안을 강화했습니다.
WiFi에서 연결을 끊었지만 다시 연결했을 때 표준 기호 대신 위 아래 화살표 기호가 있었고 Wi-Fi 드롭 다운 메뉴에 더 이상
'연결 편집' 아래의 네트워크 목록이 없습니다. 4-27의 ~ 05 : 30에 "GFiberSetup 1802"라는 네트워크에 연결하십시오. 1802 xx Drive의 이웃 사람들은 Google 광섬유를 설치 했으므로 관련이 있다고 생각합니다.
4-27 20:30
이 who명령은 guest-g20zoo라는 두 번째 사용자가 내 시스템에 로그인되었음을 나타냅니다. 이것은 Ubuntu를 실행하는 개인 노트북이므로 내 시스템에는 다른 사람이 없어야합니다. 당황, 나는 sudo pkill -9 -u guest-g20zoo네트워킹 및 와이파이를 실행 및 비활성화
나는 이것을 보았고 /var/log/auth.log이것을 발견했다.
Apr 27 06:55:55 Rho useradd[23872]: new group: name=guest-g20zoo, GID=999
Apr 27 06:55:55 Rho useradd[23872]: new user: name=guest-g20zoo, UID=999, GID=999, home=/tmp/guest-g20zoo, shell=/bin/bash
Apr 27 06:55:55 Rho su[23881]: Successful su for guest-g20zoo by root
Apr 27 06:55:55 Rho su[23881]: + ??? root:guest-g20zoo
Apr 27 06:55:55 Rho su[23881]: pam_unix(su:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd-logind[767]: New session c3 of user guest-g20zoo.
Apr 27 06:55:56 Rho su[23881]: pam_unix(su:session): session closed for user guest-g20zoo
Apr 27 06:55:56 Rho systemd-logind[767]: Removed session c3.
Apr 27 06:55:56 Rho lightdm: pam_unix(lightdm-autologin:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session closed for user guest-g20zoo
Apr 27 06:55:56 Rho systemd-logind[767]: New session c4 of user guest-g20zoo.
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:56:51 Rho pkexec: pam_unix(polkit-1:session): session opened for user root by (uid=1000)
Apr 27 06:56:51 Rho pkexec: pam_systemd(polkit-1:session): Cannot create session: Already running in a session
많은 결과가 발생했지만 죄송합니다. 로그에서 guest-g20zoo의 활동이 몇 분 내에 이루어집니다.
나는 또한 확인했다 /etc/passwd:
guest-G4J7WQ:x:120:132:Guest,,,:/tmp/guest-G4J7WQ:/bin/bash
그리고 /etc/shadow:
root:!:16669:0:99999:7:::
daemon:*:16547:0:99999:7:::
.
.
.
nobody:*:16547:0:99999:7:::
rhobot:$6$encrypted-passwd-cut-for-length.:16918:0:99999:7:::
guest-G4J7WQ:*:16689:0:99999:7:::
.
.
이 결과가 내 상황에 어떤 의미가 있는지 완전히 이해하지 못합니다. 인가 guest-g20zoo와 guest-G4J7WQ같은 사용자는?
lastlog 보여줍니다 :
guest-G4J7WQ Never logged in
그러나 다음을 last보여줍니다.
guest-g20zoo Wed Apr 27 06:55 - 20:33 (13:37)
따라서 동일한 사용자가 아닌 것 같지만 guest-g20zoo는의 출력에서 찾을 수 없었습니다 lastlog.
사용자 guest-g20zoo에 대한 액세스를 차단하고 싶지만 이후에 그가 나타나지 않고 /etc/shadow로그인에 암호를 사용하지 않지만 ssh를 사용한다고 가정하고 passwd -l guest-g20zoo작동합니까?
시도 systemctl stop sshd했지만이 오류 메시지가 나타납니다.
Failed to stop sshd.service: Unit sshd.service not loaded
이것은 내 시스템에서 원격 로그인이 이미 비활성화되어 위의 명령이 중복되었음을 의미합니까?
로그인 한 IP 주소와 같은이 새로운 사용자에 대한 자세한 정보를 찾으려고했지만 아무것도 찾지 못하는 것 같습니다.
잠재적으로 관련된 정보 :
현재 대학 네트워크에 연결되어 있고 WiFi 아이콘이 제대로 표시되고 모든 네트워크 옵션을 볼 수 있으며 이상한 브라우저가 표시되지 않습니다. 내 시스템에 로그인하는 사람이 집에있는 WiFi 라우터 범위 내에 있음을 나타 냅니까?
나는 달렸고 chkrootkit모든 것이 좋아 보였지만 모든 출력을 해석하는 방법을 모른다. 나는 여기서 무엇을 해야할지 모르겠다. 이 사람 (또는 그 문제에 대한 다른 사람)이 다시는 내 시스템에 액세스 할 수 없으며 이들이 만든 숨겨진 파일을 찾아서 제거하고 싶습니다. 감사합니다!
PS-WiFi와 네트워킹이 비활성화 된 상태에서 비밀번호를 변경하고 중요한 파일을 암호화했습니다.
sshd서버 이름 뒤에는 항목이 없지만 해당 정보를 제거하지만 여전히 흔적을 남기는 것이 이상하다는 데 동의합니다. 내 누군가가 내 시스템에 침입 한 흔적을 확인하는 다른 방법이 있습니까?
sshd에 서버 이름 뒤에 있는 항목이 있습니까? 그렇지 않으면 분명히 ssh 액세스가 없었습니다. 로그의 해당 부분을 정리하지 않고 다른 항목을 정리하지 않으면 이상하지 않습니다.