25 votes

Ordinateur personnel piraté : Comment puis-je bloquer cet utilisateur pour l'empêcher de se connecter à nouveau ? Comment puis-je savoir comment il se connecte ?

Je suis à 99,9% sûr que mon système sur mon ordinateur personnel a été infiltré. Permettez-moi d'abord d'exposer mon raisonnement pour que la situation soit claire :

Chronologie approximative des activités suspectes et des actions ultérieures prises :

4-26 23:00
J'ai fermé tous les programmes et j'ai fermé mon ordinateur portable.

4-27 12:00
J'ai ouvert mon ordinateur portable après qu'il ait été en mode veille pendant environ 13 heures. Plusieurs fenêtres étaient ouvertes, dont : Deux fenêtres Chrome, paramètres système, centre logiciel. Sur mon bureau, il y avait un installateur de git (j'ai vérifié, il n'a pas été installé).

4-27 13:00
L'historique de Chrome affichait des connexions à mon e-mail et d'autres historiques de recherche que je n'ai pas initiés (entre 01:00 et 03:00 le 4-27), y compris "installation de git". Il y avait un onglet, Digital Ocean "Comment personnaliser votre invite de commande bash" ouvert dans mon navigateur. Il a été réouvert plusieurs fois après que je l'ai fermé. J'ai renforcé la sécurité dans Chrome.

J'ai déconnecté du WiFi, mais lorsque je me suis reconnecté, il y avait un symbole de flèches haut-bas au lieu du symbole standard, et il n'y avait plus de liste de réseaux dans le menu déroulant pour le WiFi
Sous 'Modifier les connexions', j'ai remarqué que mon ordinateur portable s'était connecté à un réseau appelé "GFiberSetup 1802" vers ~05:30 le 4-27. Mes voisins au 1802 xx Drive viennent juste d'installer Google Fiber, donc je suppose que c'est lié.

4-27 20:30
La commande who a révélé qu'un deuxième utilisateur nommé guest-g20zoo était connecté à mon système. Il s'agit de mon ordinateur portable privé qui exécute Ubuntu, il ne devrait pas y avoir quelqu'un d'autre sur mon système. Paniquant, j'ai exécuté sudo pkill -9 -u guest-g20zoo et désactivé la connexion réseau et le WiFi

J'ai regardé dans /var/log/auth.log et j'ai trouvé ceci :

Apr 27 06:55:55 Rho useradd[23872]: nouveau groupe : nom=guest-g20zoo, GID=999  
Apr 27 06:55:55 Rho useradd[23872]: nouvel utilisateur : nom=guest-g20zoo, UID=999, GID=999, home=/tmp/guest-g20zoo, shell=/bin/bash    
Apr 27 06:55:55 Rho su[23881]: Connexion réussie pour guest-g20zoo par root  
Apr 27 06:55:55 Rho su[23881]: + ??? root:guest-g20zoo  
Apr 27 06:55:55 Rho su[23881]: pam_unix(su:session) : session ouverte pour l'utilisateur guest-g20zoo par (uid=0)  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session) : session ouverte pour l'utilisateur guest-g20zoo par (uid=0)  
Apr 27 06:55:56 Rho systemd-logind[767]: Nouvelle session c3 de l'utilisateur guest-g20zoo.  
Apr 27 06:55:56 Rho su[23881]: pam_unix(su:session) : session fermée pour l'utilisateur guest-g20zoo  
Apr 27 06:55:56 Rho systemd-logind[767]: Session c3 supprimée.  
Apr 27 06:55:56 Rho lightdm: pam_unix(lightdm-autologin:session) : session ouverte pour l'utilisateur guest-g20zoo par (uid=0)  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session) : session fermée pour l'utilisateur guest-g20zoo  
Apr 27 06:55:56 Rho systemd-logind[767]: Nouvelle session c4 de l'utilisateur guest-g20zoo.  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session) : session ouverte pour l'utilisateur guest-g20zoo par (uid=0)  
Apr 27 06:56:51 Rho pkexec: pam_unix(polkit-1:session) : session ouverte pour l'utilisateur root par (uid=1000)  
Apr 27 06:56:51 Rho pkexec: pam_systemd(polkit-1:session) : Impossible de créer la session : Déjà en cours dans une session

Désolé c'est beaucoup de sortie, mais c'est l'essentiel de l'activité de guest-g20zoo dans le journal, tout cela en quelques minutes.

J'ai également vérifié /etc/passwd :

guest-G4J7WQ:x:120:132:Invité,,,:/tmp/guest-G4J7WQ:/bin/bash

Et /etc/shadow :

root:!:16669:0:99999:7:::  
daemon:*:16547:0:99999:7:::  
.  
.  
.   
nobody:*:16547:0:99999:7:::  
rhobot:$6$encrypted-passwd-cut-for-length.:16918:0:99999:7:::  
guest-G4J7WQ:*:16689:0:99999:7:::  
.  
.

Je ne comprends pas tout à fait ce que cette sortie signifie pour ma situation. Est-ce que guest-g20zoo et guest-G4J7WQ sont le même utilisateur ?

lastlog montre :

guest-G4J7WQ      Jamais connecté

Cependant, last montre :

guest-g20zoo      Mer Avr 27 06:55 - 20:33 (13:37)

Il semble donc qu'ils ne sont pas le même utilisateur, mais guest-g20zoo n'était nulle part dans la sortie de lastlog.

J'aimerais bloquer l'accès à l'utilisateur guest-g20zoo, mais comme (elle) n'apparaît pas dans /etc/shadow et je suppose qu'elle n'utilise pas de mot de passe pour se connecter, mais utilise ssh, est-ce que passwd -l guest-g20zoo fonctionnera ?

J'ai essayé systemctl stop sshd, mais j'ai reçu ce message d'erreur :

Impossible d'arrêter le service sshd : Unité sshd.service non chargée

Cela signifie-t-il que la connexion à distance était déjà désactivée sur mon système, et donc que la commande ci-dessus est redondante ?

J'ai essayé de trouver plus d'informations sur ce nouvel utilisateur, comme à partir de quelle adresse IP il s'est connecté, mais je ne semble rien trouver.

Quelques informations potentiellement pertinentes :
Actuellement, je suis connecté au réseau de mon université, et mon icône WiFi a l'air bien, je peux voir toutes mes options réseau, et aucun navigateur étrange ne semble s'ouvrir tout seul. Est-ce que cela indique que la personne qui se connecte à mon système est à portée de mon routeur WiFi chez moi ?

J'ai exécuté chkrootkit et tout semblait bien, mais je ne sais pas non plus comment interpréter toute la sortie. Je ne sais pas vraiment quoi faire ici. Je veux juste être absolument sûr que cette personne (ou quiconque d'autre d'ailleurs) ne pourra jamais accéder à nouveau à mon système et je veux trouver et supprimer tout fichier caché créé par eux. S'il vous plaît et Merci !

P.S. - J'ai déjà changé mon mot de passe et crypté mes fichiers importants pendant que le WiFi et le Réseau étaient désactivés.

33voto

thomasrutter Points 33791

Effacez le disque dur et réinstallez votre système d'exploitation à partir de zéro.

En cas d'accès non autorisé, il est possible que l'attaquant ait pu obtenir des privilèges root, il est donc judicieux de supposer que c'est le cas. Dans ce cas, le auth.log semble confirmer que c'était bien le cas - à moins que ce ne soit vous qui ayez changé d'utilisateur:

27 avr. 06:55:55 Rho su[23881]: Succès de la commande su pour invité-g20zoo par root

Avec des privilèges root en particulier, ils peuvent avoir modifié le système de manière pratiquement impossible à réparer sans une réinstallation, comme en modifiant les scripts de démarrage ou en installant de nouveaux scripts et applications qui s'exécutent au démarrage, etc. Ils pourraient faire des choses comme exécuter des logiciels réseau non autorisés (c'est-à-dire pour faire partie d'un botnet), ou laisser des portes dérobées dans votre système. Essayer de détecter et réparer ce genre de choses sans réinstaller est compliqué au mieux, et ne garantit pas de vous débarrasser de tout.

26voto

daniel Points 321

Il semble que quelqu'un ait ouvert une session invité sur votre ordinateur portable pendant que vous étiez loin de votre chambre. Si j'étais vous, je demanderais autour de moi, cela pourrait être un ami.

Les comptes invités que vous voyez dans /etc/passwd et /etc/shadow ne me semblent pas suspects, ils sont créés par le système lorsque quelqu'un ouvre une session invité.

27 avr. 06:55:55 Rho su[23881]: Succès de su pour l'invité-g20zoo par root

Cette ligne signifie que root a accès au compte invité, ce qui pourrait être normal mais devrait être enquêté. J'ai essayé sur mon ubuntu1404LTS et je ne vois pas ce comportement. Vous devriez essayer de vous connecter avec une session invité et faire un grep de votre auth.log pour voir si cette ligne apparaît à chaque fois qu'un utilisateur invité se connecte.

Toutes les fenêtres ouvertes de Chrome que vous avez vues lorsque vous avez ouvert votre ordinateur portable. Est-il possible que vous ayez vu le bureau de la session invité ?

3voto

John Points 9

Je tiens juste à mentionner que "avoir plusieurs onglets/fenêtres de navigateur ouverts, le Centre de logiciels ouvert, des fichiers téléchargés sur le bureau" n'est pas très cohérent avec quelqu'un se connectant à votre machine via SSH. Un attaquant se connectant via SSH obtiendrait une console texte complètement séparée de ce que vous voyez sur votre bureau. Ils n'auraient pas non plus besoin de chercher sur Google "comment installer git" depuis votre session de bureau, car ils seraient assis devant leur propre ordinateur, n'est-ce pas? Même s'ils voulaient installer Git (pourquoi?), ils n'auraient pas besoin de télécharger un programme d'installation car Git se trouve dans les dépôts Ubuntu, toute personne qui sait quelque chose sur Git ou Ubuntu le sait. Et pourquoi ont-ils dû chercher comment personnaliser l'invite bash?

Je soupçonne également que "Il y avait un onglet... ouvert dans mon navigateur. Il s'est rouvert plusieurs fois après que je l'ai fermé" était en fait plusieurs onglets identiques ouverts, donc vous avez dû les fermer un par un.

Ce que j'essaie de dire ici, c'est que le schéma d'activité ressemble à un "singé avec une machine à écrire".

Vous n'avez pas non plus mentionné que vous aviez même installé un serveur SSH - il n'est pas installé par défaut.

Donc, si vous êtes absolument sûr que personne n'a eu accès physique à votre ordinateur portable sans que vous le sachiez, et que votre ordinateur portable a un écran tactile, et qu'il ne se suspend pas correctement, et qu'il a passé du temps dans votre sac à dos, alors je pense que tout cela peut simplement être un cas de "poche qui appelle" - des touches d'écran aléatoires combinées avec des suggestions de recherche et une auto-correction ont ouvert plusieurs fenêtres et effectué des recherches sur Google, cliquant sur des liens aléatoires et téléchargeant des fichiers aléatoires.

En anecdote personnelle - cela arrive de temps en temps avec mon smartphone dans ma poche, y compris l'ouverture de plusieurs applications, le changement des paramètres du système, l'envoi de messages SMS semi-cohérents et le visionnage de vidéos YouTube aléatoires.

2voto

Avez-vous des amis qui aiment accéder à votre ordinateur portable à distance/physiquement pendant votre absence ? Sinon :

Effacez le disque dur avec DBAN et réinstallez le système d'exploitation à partir de zéro. Assurez-vous de faire une sauvegarde au préalable.

Il est possible qu'il y ait eu une compromission grave au sein même d'Ubuntu. Lors de la réinstallation :

Chiffrez /home. Si le disque dur/l'ordinateur portable est volé physiquement, les intrus ne pourront pas accéder aux données dans /home.

Chiffrez le disque dur. Cela empêche les personnes de compromettre /boot sans se connecter. Vous devrez également entrer un mot de passe au démarrage (je pense).

Définissez un mot de passe fort. Si quelqu'un parvient à deviner le mot de passe du disque dur, il ne pourra pas accéder à /home ou se connecter.

Chiffrez votre WiFi. Il est possible que quelqu'un se soit approché du routeur et ait profité d'un WiFi non sécurisé pour se connecter à distance à votre ordinateur portable.

Désactivez le compte invité. L'attaquant aurait pu se connecter à distance à votre ordinateur portable, établir une connexion distante, se connecter via Invité et élever le compte Invité en compte root. Il s'agit d'une situation dangereuse. Si cela s'est produit, l'attaquant pourrait exécuter cette commande TRÈS DANGEREUSE :

rm -rf --no-preserve-root / 

Cela efface BEAUCOUP de données sur le disque dur, détruit /home, et pire encore, rend Ubuntu complètement incapable de démarrer. Vous vous retrouveriez simplement dans l'invite de commande grub, et vous ne seriez pas en mesure de récupérer les données. L'attaquant pourrait également détruire complètement le répertoire /home, et ainsi de suite. Si vous avez un réseau domestique, l'attaquant pourrait également rendre tous les autres ordinateurs de ce réseau incapables de démarrer (s'ils exécutent Linux).

J'espère que cela vous aidera. :)

-1voto

Jim Points 11

Retirez la carte/stick sans fil et examinez les traces. Prenez note de vos journaux afin qu'askbuntu puisse vous aider davantage. Ensuite, effacez vos disques durs et essayez une distribution différente, essayez un live cd en le laissant fonctionner pour voir s'il y a un schéma dans les attaques.

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X