আমি 99.9% নিশ্চিত যে আমার ব্যক্তিগত কম্পিউটারে আমার সিস্টেম অনুপ্রবেশ করা হয়েছে। আমাকে প্রথমে আমার যুক্তি দেওয়ার অনুমতি দিন যাতে পরিস্থিতি পরিষ্কার হয়ে যায়:
সন্দেহজনক ক্রিয়াকলাপ এবং পরবর্তী পদক্ষেপ গ্রহণের রুক্ষ সময়রেখা:
4-26 23:00
আমি সমস্ত প্রোগ্রাম শেষ করে আমার ল্যাপটপটি বন্ধ করে দিয়েছি।
4-27 12:00
প্রায় 13 ঘন্টা স্থগিত মোডে থাকার পরে আমি আমার ল্যাপটপটি খুললাম। একাধিক উইন্ডো সহ খোলা ছিল: দুটি ক্রোম উইন্ডোজ, সিস্টেম সেটিংস, সফ্টওয়্যার কেন্দ্র। আমার ডেস্কটপে একটি গিট ইনস্টলার ছিল (আমি পরীক্ষা করে দেখলাম, এটি ইনস্টল করা হয়নি)।
4-27 13:00
ক্রোম ইতিহাস আমার ইমেলটিতে লগইনগুলি প্রদর্শন করেছিল এবং অন্যান্য অনুসন্ধানের ইতিহাস যা আমি শুরু করি নি (4-27-এ 01:00 এবং 03:00 এর মধ্যে), "গিট ইনস্টল করা" সহ। আমার ব্রাউজারে একটি ট্যাব ছিল, ডিজিটাল মহাসাগর "আপনার বাশ প্রম্পটটি কীভাবে অনুকূলিতকরণ করবেন" to আমি এটি বন্ধ করে দেওয়ার পরে এটি বেশ কয়েকবার খোলা হয়েছিল। আমি ক্রোমে সুরক্ষা জোরদার করেছি।
আমি ওয়াইফাই থেকে সংযোগ বিচ্ছিন্ন করেছিলাম, তবে আমি যখন সংযোগ স্থাপন করেছি তখন স্ট্যান্ডার্ড প্রতীকের পরিবর্তে একটি আপ-ডাউন তীর চিহ্ন উপস্থিত ছিল এবং
'সংযোগ সম্পাদনাগুলি সম্পাদনা' এর অধীনে ওয়াইফাইয়ের জন্য ড্রপ ডাউন মেনুতে নেটওয়ার্কগুলির কোনও তালিকা নেই I আমি লক্ষ্য করেছি যে আমার ল্যাপটপটি সংযুক্ত ছিল had 4-27 তারিখে G 05: 30 এ "GFiberSetup 1802" নামে পরিচিত একটি নেটওয়ার্কে। 1802 এক্সএক্স ড্রাইভে আমার প্রতিবেশীদের সবেমাত্র গুগল ফাইবার ইনস্টল করা ছিল, তাই আমি অনুমান করছি এটি সম্পর্কিত।
4-27 20:30 কমান্ড জানা যায় যে একটি দ্বিতীয় ব্যবহারকারী নামে অতিথি g20zoo আমার সিস্টেম লগ ইন করা হয়। এটি আমার ব্যক্তিগত ল্যাপটপ যা উবুন্টু চালায়, আমার সিস্টেমে অন্য কেউ থাকা উচিত নয়। আতঙ্কিত হয়ে আমি দৌড়ে গিয়ে নেটওয়ার্কিং এবং ওয়াইফাই অক্ষম করেছিwho
sudo pkill -9 -u guest-g20zoo
আমি /var/log/auth.log
এটি সন্ধান করে পেয়েছি:
Apr 27 06:55:55 Rho useradd[23872]: new group: name=guest-g20zoo, GID=999
Apr 27 06:55:55 Rho useradd[23872]: new user: name=guest-g20zoo, UID=999, GID=999, home=/tmp/guest-g20zoo, shell=/bin/bash
Apr 27 06:55:55 Rho su[23881]: Successful su for guest-g20zoo by root
Apr 27 06:55:55 Rho su[23881]: + ??? root:guest-g20zoo
Apr 27 06:55:55 Rho su[23881]: pam_unix(su:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd-logind[767]: New session c3 of user guest-g20zoo.
Apr 27 06:55:56 Rho su[23881]: pam_unix(su:session): session closed for user guest-g20zoo
Apr 27 06:55:56 Rho systemd-logind[767]: Removed session c3.
Apr 27 06:55:56 Rho lightdm: pam_unix(lightdm-autologin:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session closed for user guest-g20zoo
Apr 27 06:55:56 Rho systemd-logind[767]: New session c4 of user guest-g20zoo.
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:56:51 Rho pkexec: pam_unix(polkit-1:session): session opened for user root by (uid=1000)
Apr 27 06:56:51 Rho pkexec: pam_systemd(polkit-1:session): Cannot create session: Already running in a session
দুঃখিত, এটি প্রচুর আউটপুট, তবে এটি বেশ কয়েকটি মিনিটের মধ্যেই অতিথি-g20zoo থেকে প্রচুর ক্রিয়াকলাপ।
আমি পরীক্ষা করেছিলাম /etc/passwd
:
guest-G4J7WQ:x:120:132:Guest,,,:/tmp/guest-G4J7WQ:/bin/bash
এবং /etc/shadow
:
root:!:16669:0:99999:7:::
daemon:*:16547:0:99999:7:::
.
.
.
nobody:*:16547:0:99999:7:::
rhobot:$6$encrypted-passwd-cut-for-length.:16918:0:99999:7:::
guest-G4J7WQ:*:16689:0:99999:7:::
.
.
আমার পরিস্থিতির জন্য এই আউটপুটটির অর্থ কী তা আমি পুরোপুরি বুঝতে পারি না। হয় guest-g20zoo
এবং guest-G4J7WQ
একই ব্যবহারকারী নন?
lastlog
শো:
guest-G4J7WQ Never logged in
তবে, last
শো:
guest-g20zoo Wed Apr 27 06:55 - 20:33 (13:37)
সুতরাং দেখে মনে হচ্ছে তারা একই ব্যবহারকারী নয়, তবে অতিথি- g20zoo এর আউটপুটে কোথাও পাওয়া যায় নি lastlog
।
আমি ব্যবহারকারীর গেস্ট- g20zoo এর অ্যাক্সেস ব্লক করতে চাই তবে যেহেতু (গুলি) সে উপস্থিত হয় নি /etc/shadow
এবং আমি ধরে নিচ্ছি লগইন করার জন্য একটি পাসওয়ার্ড ব্যবহার করে না, তবে ssh ব্যবহার করে, passwd -l guest-g20zoo
কাজ করবে ?
আমি চেষ্টা করেছি systemctl stop sshd
, কিন্তু এই ত্রুটি বার্তাটি পেয়েছি:
Failed to stop sshd.service: Unit sshd.service not loaded
এর অর্থ কি আমার সিস্টেমে রিমোট লগইন ইতিমধ্যে অক্ষম ছিল, এবং সুতরাং উপরের কমান্ডটি অপ্রয়োজনীয়?
আমি এই নতুন ব্যবহারকারীর সম্পর্কে আরও তথ্য সন্ধান করার চেষ্টা করেছি, যেমন তারা কী আইপি ঠিকানা থেকে লগ ইন করেছিল তবে আমি কিছুই খুঁজে পাচ্ছি না।
কিছু সম্ভাব্য প্রাসঙ্গিক তথ্য:
বর্তমানে আমি আমার বিশ্ববিদ্যালয়ের নেটওয়ার্কের সাথে সংযুক্ত রয়েছি, এবং আমার ওয়াইফাই আইকনটি দেখতে ভাল লাগছে, আমি আমার সমস্ত নেটওয়ার্ক অপশন দেখতে পাচ্ছি, এবং কোনও অদ্ভুত ব্রাউজার নিজেরাই পপ আপ করছে না। এটি কি বোঝায় যে যে কেউ আমার সিস্টেমে লগইন করছে সে আমার বাড়িতে আমার ওয়াইফাই রাউটারের সীমার মধ্যে রয়েছে?
আমি দৌড়েছি chkrootkit
এবং সবকিছু ঠিকঠাক বলে মনে হয়েছিল , তবে সমস্ত আউটপুট কীভাবে ব্যাখ্যা করতে হয় তাও জানি না। আমি এখানে কি করতে হবে তা সত্যই জানি না। আমি কেবলমাত্র নিশ্চিত হতে চাই যে এই ব্যক্তিটি (বা অন্য যে কোনও বিষয়ে) আমার সিস্টেমে আর অ্যাক্সেস করতে সক্ষম হবে না এবং আমি তাদের তৈরি কোনও লুকানো ফাইল সন্ধান করতে এবং মুছে ফেলতে চাই। অনুগ্রহ করে এবং ধন্যবাদ!
পিএস - আমি ইতোমধ্যে আমার পাসওয়ার্ড পরিবর্তন করেছি এবং ওয়াইফাই এবং নেটওয়ার্কিং অক্ষম থাকা অবস্থায় আমার গুরুত্বপূর্ণ ফাইলগুলি এনক্রিপ্ট করেছি।
sshd
সার্ভার নামের পরে কোনও এন্ট্রি নেই , তবে আমি সম্মত হই যে এই তথ্যটি সরিয়ে ফেলা কিন্তু এখনও নিজের চিহ্ন খুঁজে পাওয়া বিজোড়। আমার সিস্টেমটি আমার সিস্টেমে প্রবেশ করেছে এমন ট্রেস পরীক্ষা করার জন্য অন্য কোনও উপায় আছে কি?
sshd
সার্ভার নামের পরে আউথ লগটিতে এমন কোনও এন্ট্রি রয়েছে ? যদি না হয় তবে অবশ্যই কোনও এসএসএস অ্যাক্সেস ছিল না .. যদি না তারা লগের সেই অংশটি পরিষ্কার না করে এবং অন্যান্য এন্ট্রিগুলি পরিষ্কার করতে বিরক্ত না করে, যা অদ্ভুত হবে।