ハッキングされたパーソナルコンピューター：このユーザーが再度ログインするのをブロックするにはどうすればよいですか？彼らがどのようにログインしているかを知るにはどうすればよいですか？

私のパソコンのシステムに侵入したのは99.9％です。状況が明確になるように、最初に推論を述べさせてください。

不審なアクティビティの大まかなタイムラインとその後のアクション：

4-26 23:00
すべてのプログラムを終了し、ラップトップを閉じました。

4-27 12:00
ラップトップを約13時間サスペンドモードにした後、ラップトップを開きました。次を含む複数のウィンドウが開いていました。2つのクロムウィンドウ、システム設定、ソフトウェアセンター。デスクトップにgitインストーラーがありました（チェックしましたが、インストールされていません）。

4-27 13:00
Chrome履歴には、メールへのログイン、および「gitのインストール」など、開始しなかった他の検索履歴（4-27の01:00から03:00）が表示されました。私のブラウザで、デジタルオーシャンの「bashプロンプトをカスタマイズする方法」というタブが開いていました。私はそれを閉じた後、数回再開しました。Chromeのセキュリティを強化しました。

WiFiから切断しましたが、再接続すると標準の記号ではなく上下の矢印記号が表示され、Wifiのドロップダウンメニューに
[接続の編集]の下にネットワークのリストが表示されなくなりました。「GFiberSetup 1802」と呼ばれるネットワークに、4-27の〜05：30に。1802 xx Driveの隣人にはGoogle Fiberがインストールされていたので、関連していると思います。

4-27夜08時30 コマンドは、第2のユーザという名前のゲスト-g20zooは、私のシステムにログインしていたことを明らかにしました。これは、Ubuntuを実行するプライベートラップトップであり、システム上に他の人がいないはずです。パニック、私は走って、ネットワークとWifiを無効にしました
whosudo pkill -9 -u guest-g20zoo

私は調べて/var/log/auth.logこれを見つけました：

Apr 27 06:55:55 Rho useradd[23872]: new group: name=guest-g20zoo, GID=999  
Apr 27 06:55:55 Rho useradd[23872]: new user: name=guest-g20zoo, UID=999, GID=999, home=/tmp/guest-g20zoo, shell=/bin/bash    
Apr 27 06:55:55 Rho su[23881]: Successful su for guest-g20zoo by root  
Apr 27 06:55:55 Rho su[23881]: + ??? root:guest-g20zoo  
Apr 27 06:55:55 Rho su[23881]: pam_unix(su:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd-logind[767]: New session c3 of user guest-g20zoo.  
Apr 27 06:55:56 Rho su[23881]: pam_unix(su:session): session closed for user guest-g20zoo  
Apr 27 06:55:56 Rho systemd-logind[767]: Removed session c3.  
Apr 27 06:55:56 Rho lightdm: pam_unix(lightdm-autologin:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session closed for user guest-g20zoo  
Apr 27 06:55:56 Rho systemd-logind[767]: New session c4 of user guest-g20zoo.  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:56:51 Rho pkexec: pam_unix(polkit-1:session): session opened for user root by (uid=1000)  
Apr 27 06:56:51 Rho pkexec: pam_systemd(polkit-1:session): Cannot create session: Already running in a session

申し訳ありませんが、大量の出力ですが、それはログ内のguest-g20zooからのアクティビティの大部分であり、すべて数分以内です。

私もチェックしました/etc/passwd：

guest-G4J7WQ:x:120:132:Guest,,,:/tmp/guest-G4J7WQ:/bin/bash

そして/etc/shadow：

root:!:16669:0:99999:7:::  
daemon:*:16547:0:99999:7:::  
.  
.  
.   
nobody:*:16547:0:99999:7:::  
rhobot:$6$encrypted-passwd-cut-for-length.:16918:0:99999:7:::  
guest-G4J7WQ:*:16689:0:99999:7:::  
.  
.

この出力が私の状況にとって何を意味するのか完全には理解していません。あるguest-g20zooとguest-G4J7WQ同じユーザ？

lastlog ショー：

guest-G4J7WQ      Never logged in

ただし、以下をlast示します。

guest-g20zoo      Wed Apr 27 06:55 - 20:33 (13:37)

したがって、彼らは同じユーザーではないようですが、guest-g20zooはの出力には見当たりませんlastlog。

ゲストguest-g20zooのアクセスをブロックしたいのですが、（s）は表示され/etc/shadowず、ログインにパスワードを使用せず、sshを使用すると想定していますが、passwd -l guest-g20zoo動作しますか？

私は試しましsystemctl stop sshdたが、このエラーメッセージが表示されました：

Failed to stop sshd.service: Unit sshd.service not loaded

これは、システムでリモートログインがすでに無効になっているため、上記のコマンドが冗長であるということですか？

ログインしたIPアドレスなど、この新しいユーザーに関する詳細情報を検索しようとしましたが、何も見つからないようです。

関連する可能性のある情報：
現在、大学のネットワークに接続しており、WiFiアイコンが正常に表示され、すべてのネットワークオプションが表示されます。また、奇妙なブラウザーは表示されません。これは、私のシステムにログインしている人が自宅のWiFiルーターの範囲内にいることを示していますか？

私は走りchkrootkit、すべてが順調に見えたが、すべての出力を解釈する方法も知らない。ここで何をすべきか本当にわかりません。この人（または他の人）が私のシステムに再びアクセスできないことを絶対に確認したいので、作成した隠しファイルを見つけて削除したいです。お願いします！

PS-WiFiとネットワークが無効になっている間に、すでにパスワードを変更し、重要なファイルを暗号化しました。

部屋から離れている間に、誰かがラップトップでゲストセッションを開いたようです。もし私があなただったら、私は周りに尋ねるでしょう、それは友人かもしれません。

表示されるゲストアカウントは私にとって疑わしいもの/etc/passwdで/etc/shadowはなく、誰かがゲストセッションを開いたときにシステムによって作成されます。

4月27日06:55:55 Rho su [23881]：rootによるguest-g20zooのsuの成功

この行はroot、ゲストアカウントへのアクセス権があることを意味します。これは正常な場合もありますが、調査する必要があります。ubuntu1404LTSを試してみましたが、この動作が見当たりません。ゲストセッションでログインし、grepを実行してauth.log、ゲストユーザーがログインするたびにこの行が表示されるかどうかを確認する必要があります。

あなたがラップトップを開いたときに見たクロムのすべての開いたウィンドウ。ゲストセッションデスクトップが表示されていた可能性はありますか？

ハードドライブを拭いて、オペレーティングシステムを最初から再インストールします。

不正アクセスの場合には、攻撃者がルート権限を取得できた可能性があるため、それが発生したと想定するのが賢明です。この場合、auth.logは、これが実際に事実であることを確認するように見えます- あなたがユーザーを切り替えたのでない限り：

4月27日06:55:55 Rho su [23881]：rootによるguest-g20zooのsuの成功

特にルート権限では、ブートスクリプトを変更したり、ブート時に実行される新しいスクリプトやアプリケーションをインストールしたりするなど、再インストールなしでは修正するのが事実上不可能な方法でシステムを台無しにした可能性があります。これらは、不正なネットワークソフトウェアを実行する（ボットネットの一部を形成するなど）ことや、システムにバックドアを残すことなどができます。再インストールせずにこの種のことを検出して修復しようとすると、せいぜい面倒であり、すべてをなくす保証はありません。

「複数のブラウザタブ/ウィンドウが開き、Software Centerが開き、デスクトップにダウンロードされたファイル」が、SSHを介してマシンにログインしている人とあまり一致していないことに言及したいだけです。攻撃者がSSH経由でログインすると、デスクトップに表示されるものとは完全に別のテキストコンソールが取得されます。また、デスクトップセッションから「gitのインストール方法」をグーグルで検索する必要はありません。なぜなら、彼らは自分のコンピューターの前に座っているからです。Gitをインストールしたい場合（理由）、GitはUbuntuリポジトリにあるため、インストーラーをダウンロードする必要はありません。GitまたはUbuntuについて何か知っている人なら誰でも知っています。そして、なぜ彼らはbashプロンプトをカスタマイズする方法をグーグルで調べなければならなかったのですか？

また、「タブがありました...ブラウザで開いていました。閉じた後、何度も開きました」は、実際には複数の同じタブが開いていたため、1つずつ閉じる必要がありました。

ここで私が言いたいことは、活動のパターンが「タイプライターの猿」に似ているということです。

また、SSHサーバーがインストールされていても言及していませんでした-デフォルトではインストールされていません。

だから、あなたが知らないうちにラップトップに物理的にアクセスできる人が誰もいないと確信し、ラップトップにタッチスクリーンがあり、それが適切にサスペンドせず、バックパックで少し時間を費やしたなら、それはすべて単に「ポケットコール」の場合-ランダムスクリーンタッチと検索候補および自動修正を組み合わせて複数のウィンドウを開き、Google検索を実行し、ランダムリンクをクリックしてランダムファイルをダウンロードします。

個人的な逸話として-スマートフォンをポケットに入れた状態で、複数のアプリを開いたり、システム設定を変更したり、半一貫性のあるSMSメッセージを送信したり、ランダムなYouTubeビデオを視聴したりすることがあります。

外出中にラップトップにリモート/物理的にアクセスしたい友達がいますか？そうでない場合：

HDDをDBANでワイプし、OSを最初から再インストールします。最初にバックアップしてください。

Ubuntu内で何かがひどく侵害された可能性があります。再インストールするとき：

暗号化し/homeます。HDD /ラップトップ自体が物理的に盗まれた場合、内のデータにアクセスできません/home。

HDDを暗号化します。これにより/boot、ユーザーがログインせずに妥協することを防ぎます。また、ブート時のパスワードを入力する必要があります（私は思う）。

強力なパスワードを設定します。誰かがHDDパスワードを把握すると、アクセス/homeやログインができなくなります。

WiFiを暗号化します。誰かがルーターの近くに来て、暗号化されていないWifiを利用してラップトップにsshした可能性があります。

ゲストアカウントを無効にします。攻撃者はラップトップにsshし、リモート接続を取得し、Guest経由でログインし、Guestアカウントをルートに昇格させた可能性があります。これは危険な状況です。これが発生した場合、攻撃者は次の非常に危険なコマンドを実行できます。

rm -rf --no-preserve-root / 

これは消去A LOT HDD上のデータ、ゴミの/home、さらにはブートにUbuntuが完全にできなくさらに悪化、葉を。あなたは単にgrubレスキューに投げ込まれ、これから回復することはできません。攻撃者は、/homeディレクトリをます。ホームネットワークがある場合、攻撃者はそのネットワーク上の他のすべてのコンピューターも起動できません（Linuxを実行している場合）。

これがお役に立てば幸いです。:)

「疑わしい」アクティビティは次のように説明されます。蓋が閉じられたときにラップトップがサスペンドしなくなり、ラップトップがタッチスクリーンになり、加えられた圧力に反応しました（おそらく猫）。から提供された行/var/log/auth.log、およびwhoコマンドの出力は、ゲストセッションログインと一致しています。グリーターからのゲストセッションログインを無効にしましたが、Unity DEの右上隅にあるドロップダウンメニューからアクセスできます。エルゴ、ログイン中にゲストセッションを開くことができます。

「印加圧力」理論をテストしました。窓は蓋が閉じているときに開くことができます。また、新しいゲストセッションにもログインしました。/var/log/auth.logこれを実行した後、不審なアクティビティと認識したものと同じログ行が存在しました。ユーザーを切り替えてアカウントに戻し、whoコマンドを実行しました-システムにログインしているゲストがいることが出力に示されました。

上下矢印のWiFiロゴが標準のWiFiロゴに戻り、使用可能なすべての接続が表示されます。これはネットワークの問題であり、無関係です。

ワイヤレスカード/スティックを引き出し、トレースを見ます。ログを記録して、askbuntuがさらに役立つようにします。ドライブを消去して別のディストリビューションを試し、ライブcdを実行したままにして、攻撃のパターンがあるかどうかを確認します。