Je suis à 99,9% sûr que mon système sur mon ordinateur personnel a été infiltré. Permettez-moi d'abord d'exposer mon raisonnement pour que la situation soit claire :
Chronologie approximative des activités suspectes et des actions ultérieures prises :
4-26 23:00
J'ai fermé tous les programmes et j'ai fermé mon ordinateur portable.
4-27 12:00
J'ai ouvert mon ordinateur portable après qu'il ait été en mode veille pendant environ 13 heures. Plusieurs fenêtres étaient ouvertes, dont : Deux fenêtres Chrome, paramètres système, centre logiciel. Sur mon bureau, il y avait un installateur de git (j'ai vérifié, il n'a pas été installé).
4-27 13:00
L'historique de Chrome affichait des connexions à mon e-mail et d'autres historiques de recherche que je n'ai pas initiés (entre 01:00 et 03:00 le 4-27), y compris "installation de git". Il y avait un onglet, Digital Ocean "Comment personnaliser votre invite de commande bash" ouvert dans mon navigateur. Il a été réouvert plusieurs fois après que je l'ai fermé. J'ai renforcé la sécurité dans Chrome.
J'ai déconnecté du WiFi, mais lorsque je me suis reconnecté, il y avait un symbole de flèches haut-bas au lieu du symbole standard, et il n'y avait plus de liste de réseaux dans le menu déroulant pour le WiFi
Sous 'Modifier les connexions', j'ai remarqué que mon ordinateur portable s'était connecté à un réseau appelé "GFiberSetup 1802" vers ~05:30 le 4-27. Mes voisins au 1802 xx Drive viennent juste d'installer Google Fiber, donc je suppose que c'est lié.
4-27 20:30
La commande who
a révélé qu'un deuxième utilisateur nommé guest-g20zoo était connecté à mon système. Il s'agit de mon ordinateur portable privé qui exécute Ubuntu, il ne devrait pas y avoir quelqu'un d'autre sur mon système. Paniquant, j'ai exécuté sudo pkill -9 -u guest-g20zoo
et désactivé la connexion réseau et le WiFi
J'ai regardé dans /var/log/auth.log
et j'ai trouvé ceci :
Apr 27 06:55:55 Rho useradd[23872]: nouveau groupe : nom=guest-g20zoo, GID=999
Apr 27 06:55:55 Rho useradd[23872]: nouvel utilisateur : nom=guest-g20zoo, UID=999, GID=999, home=/tmp/guest-g20zoo, shell=/bin/bash
Apr 27 06:55:55 Rho su[23881]: Connexion réussie pour guest-g20zoo par root
Apr 27 06:55:55 Rho su[23881]: + ??? root:guest-g20zoo
Apr 27 06:55:55 Rho su[23881]: pam_unix(su:session) : session ouverte pour l'utilisateur guest-g20zoo par (uid=0)
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session) : session ouverte pour l'utilisateur guest-g20zoo par (uid=0)
Apr 27 06:55:56 Rho systemd-logind[767]: Nouvelle session c3 de l'utilisateur guest-g20zoo.
Apr 27 06:55:56 Rho su[23881]: pam_unix(su:session) : session fermée pour l'utilisateur guest-g20zoo
Apr 27 06:55:56 Rho systemd-logind[767]: Session c3 supprimée.
Apr 27 06:55:56 Rho lightdm: pam_unix(lightdm-autologin:session) : session ouverte pour l'utilisateur guest-g20zoo par (uid=0)
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session) : session fermée pour l'utilisateur guest-g20zoo
Apr 27 06:55:56 Rho systemd-logind[767]: Nouvelle session c4 de l'utilisateur guest-g20zoo.
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session) : session ouverte pour l'utilisateur guest-g20zoo par (uid=0)
Apr 27 06:56:51 Rho pkexec: pam_unix(polkit-1:session) : session ouverte pour l'utilisateur root par (uid=1000)
Apr 27 06:56:51 Rho pkexec: pam_systemd(polkit-1:session) : Impossible de créer la session : Déjà en cours dans une session
Désolé c'est beaucoup de sortie, mais c'est l'essentiel de l'activité de guest-g20zoo dans le journal, tout cela en quelques minutes.
J'ai également vérifié /etc/passwd
:
guest-G4J7WQ:x:120:132:Invité,,,:/tmp/guest-G4J7WQ:/bin/bash
Et /etc/shadow
:
root:!:16669:0:99999:7:::
daemon:*:16547:0:99999:7:::
.
.
.
nobody:*:16547:0:99999:7:::
rhobot:$6$encrypted-passwd-cut-for-length.:16918:0:99999:7:::
guest-G4J7WQ:*:16689:0:99999:7:::
.
.
Je ne comprends pas tout à fait ce que cette sortie signifie pour ma situation. Est-ce que guest-g20zoo
et guest-G4J7WQ
sont le même utilisateur ?
lastlog
montre :
guest-G4J7WQ Jamais connecté
Cependant, last
montre :
guest-g20zoo Mer Avr 27 06:55 - 20:33 (13:37)
Il semble donc qu'ils ne sont pas le même utilisateur, mais guest-g20zoo n'était nulle part dans la sortie de lastlog
.
J'aimerais bloquer l'accès à l'utilisateur guest-g20zoo, mais comme (elle) n'apparaît pas dans /etc/shadow
et je suppose qu'elle n'utilise pas de mot de passe pour se connecter, mais utilise ssh, est-ce que passwd -l guest-g20zoo
fonctionnera ?
J'ai essayé systemctl stop sshd
, mais j'ai reçu ce message d'erreur :
Impossible d'arrêter le service sshd : Unité sshd.service non chargée
Cela signifie-t-il que la connexion à distance était déjà désactivée sur mon système, et donc que la commande ci-dessus est redondante ?
J'ai essayé de trouver plus d'informations sur ce nouvel utilisateur, comme à partir de quelle adresse IP il s'est connecté, mais je ne semble rien trouver.
Quelques informations potentiellement pertinentes :
Actuellement, je suis connecté au réseau de mon université, et mon icône WiFi a l'air bien, je peux voir toutes mes options réseau, et aucun navigateur étrange ne semble s'ouvrir tout seul. Est-ce que cela indique que la personne qui se connecte à mon système est à portée de mon routeur WiFi chez moi ?
J'ai exécuté chkrootkit
et tout semblait bien, mais je ne sais pas non plus comment interpréter toute la sortie. Je ne sais pas vraiment quoi faire ici. Je veux juste être absolument sûr que cette personne (ou quiconque d'autre d'ailleurs) ne pourra jamais accéder à nouveau à mon système et je veux trouver et supprimer tout fichier caché créé par eux. S'il vous plaît et Merci !
P.S. - J'ai déjà changé mon mot de passe et crypté mes fichiers importants pendant que le WiFi et le Réseau étaient désactivés.