несанкционированное подключение к рабочей станции

[Bars]

Доступ через wifi разрешен всем или только зарегистрированым МАСам?

по макам
Пользователь решил продолжить мысль 05 Января 2014, 16:32:47:в его логах за 8.12.13 нашел:

(Нажмите, чтобы показать/скрыть)

Dec  8 12:39:01 PC01 CRON[3283]: pam_unix(cron:session): session opened for user root by (uid=0)
Dec  8 12:39:01 PC01 CRON[3283]: pam_unix(cron:session): session closed for user root
Dec  8 12:58:56 PC01 gnome-keyring-daemon[2008]: keyring alias directory: /home/его_логин/.local/share/keyrings
Dec  8 13:00:15 PC01 polkitd(authority=local): Operator of unix-session:/org/freedesktop/ConsoleKit/Session2 successfully authenticated as unix-user:его_логин to gain TEMPORARY authorization for action org.debian.apt.install-or-remove-packages for system-bus-name::1.76 [/usr/bin/python /usr/bin/software-center] (owned by unix-user:его_логин)
Dec  8 13:00:30 PC01 groupadd[4446]: group added to /etc/group: name=debian-tor, GID=131
Dec  8 13:00:31 PC01 groupadd[4446]: group added to /etc/gshadow: name=debian-tor
Dec  8 13:00:31 PC01 groupadd[4446]: new group: name=debian-tor, GID=131
Dec  8 13:00:31 PC01 useradd[4450]: new user: name=debian-tor, UID=120, GID=131, home=/var/lib/tor, shell=/bin/false
Dec  8 13:00:31 PC01 usermod[4455]: change user 'debian-tor' password
Dec  8 13:00:31 PC01 chage[4460]: changed password expiry for debian-tor
Dec  8 13:09:01 PC01 CRON[5069]: pam_unix(cron:session): session opened for user root by (uid=0)
Dec  8 13:09:01 PC01 CRON[5069]: pam_unix(cron:session): session closed for user root
Dec  8 13:17:01 PC01 CRON[5531]: pam_unix(cron:session): session opened for user root by (uid=0)
Dec  8 13:17:02 PC01 CRON[5531]: pam_unix(cron:session): session closed for user root
Dec  8 13:31:32 PC01 polkitd(authority=local): Operator of unix-session:/org/freedesktop/ConsoleKit/Session2 successfully authenticated as unix-user:его_логин to gain TEMPORARY authorization for action org.debian.apt.install-or-remove-packages for system-bus-name::1.76 [/usr/bin/python /usr/bin/software-center] (owned by unix-user:его_логин)
Dec  8 13:31:46 PC01 useradd[6458]: new user: name=privoxy, UID=121, GID=65534, home=/etc/privoxy, shell=/bin/false
Dec  8 13:31:46 PC01 usermod[6463]: change user 'privoxy' password
Dec  8 13:31:46 PC01 chage[6468]: changed password expiry for privoxy
Dec  8 13:37:12 PC01 sudo:  его_логин : TTY=pts/0 ; PWD=/home/его_логин ; USER=root ; COMMAND=/bin/su
Dec  8 13:37:12 PC01 sudo: pam_unix(sudo:session): session opened for user root by его_логин(uid=0)
Dec  8 13:37:12 PC01 su[6678]: Successful su for root by root
Dec  8 13:37:12 PC01 su[6678]: + /dev/pts/0 root:root
Dec  8 13:37:12 PC01 su[6678]: pam_unix(su:session): session opened for user root by его_логин(uid=0)
Dec  8 13:37:12 PC01 dbus[1087]: [system] Rejected send message, 2 matched rules; type="method_call", sender=":1.61" (uid=1000 pid=2293 comm="/usr/lib/indicator-session/indicator-session-servi") interface="org.freedesktop.DBus.Properties" member="GetAll" error name="(unset)" requested_reply="0" destination=":1.19" (uid=0 pid=1277 comm="/usr/sbin/console-kit-daemon --no-daemon ")
Dec  8 13:39:01 PC01 CRON[6709]: pam_unix(cron:session): session opened for user root by (uid=0)
Dec  8 13:39:01 PC01 CRON[6709]: pam_unix(cron:session): session closed for user root
Dec  8 14:09:01 PC01 CRON[6972]: pam_unix(cron:session): session opened for user root by (uid=0)
Dec  8 14:09:01 PC01 CRON[6972]: pam_unix(cron:session): session closed for user root
Dec  8 14:17:01 PC01 CRON[7011]: pam_unix(cron:session): session opened for user root by (uid=0)
Dec  8 14:17:01 PC01 CRON[7011]: pam_unix(cron:session): session closed for user root
Dec  8 14:39:01 PC01 CRON[7101]: pam_unix(cron:session): session opened for user root by (uid=0)
Dec  8 14:39:01 PC01 CRON[7101]: pam_unix(cron:session): session closed for user root
Dec  8 14:41:49 PC01 polkitd(authority=local): Operator of unix-session:/org/freedesktop/ConsoleKit/Session2 successfully authenticated as unix-user:его_логин to gain TEMPORARY authorization for action org.debian.apt.install-or-remove-packages for system-bus-name::1.76 [/usr/bin/python /usr/bin/software-center] (owned by unix-user:его_логин)
Dec  8 14:45:18 PC01 groupadd[13522]: group added to /etc/group: name=mixmaster, GID=132
Dec  8 14:45:18 PC01 groupadd[13522]: group added to /etc/gshadow: name=mixmaster
Dec  8 14:45:18 PC01 groupadd[13522]: new group: name=mixmaster, GID=132
Dec  8 14:45:18 PC01 useradd[13526]: new user: name=mixmaster, UID=122, GID=132, home=/var/lib/mixmaster, shell=/bin/bash
Dec  8 14:45:19 PC01 usermod[13531]: change user 'mixmaster' password
Dec  8 14:45:19 PC01 chage[13536]: changed password expiry for mixmaster
Dec  8 14:45:19 PC01 chfn[13539]: changed user 'mixmaster' information
Dec  8 14:45:20 PC01 su[13600]: Successful su for mixmaster by root
Dec  8 14:45:20 PC01 su[13600]: +??? root:mixmaster    #между "+" и "?" стоит пробел
Dec  8 14:45:20 PC01 su[13600]: pam_unix(su:session): session opened for user mixmaster by (uid=0)
Dec  8 14:45:20 PC01 dbus[1087]: [system] Rejected send message, 2 matched rules; type="method_call", sender=":1.61" (uid=1000 pid=2293 comm="/usr/lib/indicator-session/indicator-session-servi") interface="org.freedesktop.DBus.Properties" member="GetAll" error name="(unset)" requested_reply="0" destination=":1.19" (uid=0 pid=1277 comm="/usr/sbin/console-kit-daemon --no-daemon ")
Dec  8 14:45:21 PC01 su[13600]: pam_unix(su:session): session closed for user mixmaster
Dec  8 14:45:24 PC01 groupadd[13681]: group added to /etc/group: name=postfix, GID=133
Dec  8 14:45:24 PC01 groupadd[13681]: group added to /etc/gshadow: name=postfix
Dec  8 14:45:24 PC01 groupadd[13681]: new group: name=postfix, GID=133
Dec  8 14:45:24 PC01 useradd[13687]: new user: name=postfix, UID=123, GID=133, home=/var/spool/postfix, shell=/bin/false
Dec  8 14:45:24 PC01 usermod[13692]: change user 'postfix' password
Dec  8 14:45:24 PC01 chage[13697]: changed password expiry for postfix
Dec  8 14:45:24 PC01 groupadd[13739]: group added to /etc/group: name=postdrop, GID=134
Dec  8 14:45:24 PC01 groupadd[13739]: group added to /etc/gshadow: name=postdrop
Dec  8 14:45:24 PC01 groupadd[13739]: new group: name=postdrop, GID=134
Dec  8 15:09:02 PC01 CRON[14898]: pam_unix(cron:session): session opened for user root by (uid=0)
Dec  8 15:09:02 PC01 CRON[14898]: pam_unix(cron:session): session closed for user root

Если я правильно понимаю, то во время установки TOR, софтина создала юзеров и группы, причем с рутовыми правами: +??? root:mixmaster
А дальше "ловкость рук и никакого мошенства" (с)
Пользователь решил продолжить мысль 05 Января 2014, 16:47:47:лог за 9.12:

(Нажмите, чтобы показать/скрыть)

Dec  9 22:42:29  dbus[893]: last message repeated 4 times
Dec  9 22:49:51 PC01 gdm-password][1984]: pam_succeed_if(gdm-password:auth): requirement "user ingroup nopasswdlogin" not met by user "его_логин"
Dec  9 22:50:09 PC01 gdm-password][1984]: pam_unix(gdm-password:auth): authentication failure; logname= uid=0 euid=0 tty=:0 ruser= rhost=  user=его_логин
Dec  9 22:50:09 PC01 gdm-password][1984]: pam_winbind(gdm-password:auth): getting password (0x00000388)
Dec  9 22:50:09 PC01 gdm-password][1984]: pam_winbind(gdm-password:auth): pam_get_item returned a password
Dec  9 22:50:09 PC01 gdm-password][1984]: pam_winbind(gdm-password:auth): request wbcLogonUser failed: WBC_ERR_AUTH_ERROR, PAM error: PAM_USER_UNKNOWN (10), NTSTATUS: NT_STATUS_NO_SUCH_USER, Error message was: No such user
Dec  9 22:50:12 PC01 gdm-password][2010]: pam_succeed_if(gdm-password:auth): requirement "user ingroup nopasswdlogin" not met by user "его_логин"
Dec  9 22:50:20 PC01 gdm-password][2010]: pam_unix(gdm-password:auth): authentication failure; logname= uid=0 euid=0 tty=:0 ruser= rhost=  user=его_логин
Dec  9 22:50:20 PC01 gdm-password][2010]: pam_winbind(gdm-password:auth): getting password (0x00000388)
Dec  9 22:50:20 PC01 gdm-password][2010]: pam_winbind(gdm-password:auth): pam_get_item returned a password
Dec  9 22:50:20 PC01 gdm-password][2010]: pam_winbind(gdm-password:auth): request wbcLogonUser failed: WBC_ERR_AUTH_ERROR, PAM error: PAM_USER_UNKNOWN (10), NTSTATUS: NT_STATUS_NO_SUCH_USER, Error message was: No such user
Dec  9 22:50:21 PC01 gdm-password][2033]: pam_succeed_if(gdm-password:auth): requirement "user ingroup nopasswdlogin" not met by user "его_логин"
Dec  9 22:50:26 PC01 gdm-password][2033]: pam_unix(gdm-password:auth): authentication failure; logname= uid=0 euid=0 tty=:0 ruser= rhost=  user=его_логин
Dec  9 22:50:26 PC01 gdm-password][2033]: pam_winbind(gdm-password:auth): getting password (0x00000388)
Dec  9 22:50:26 PC01 gdm-password][2033]: pam_winbind(gdm-password:auth): pam_get_item returned a password
Dec  9 22:50:26 PC01 gdm-password][2033]: pam_winbind(gdm-password:auth): request wbcLogonUser failed: WBC_ERR_AUTH_ERROR, PAM error: PAM_USER_UNKNOWN (10), NTSTATUS: NT_STATUS_NO_SUCH_USER, Error message was: No such user
Dec  9 22:50:33 PC01 gdm-password][2055]: pam_succeed_if(gdm-password:auth): requirement "user ingroup nopasswdlogin" not met by user "его_логин"
Dec  9 22:50:40 PC01 gdm-password][2055]: pam_unix(gdm-password:session): session opened for user его_логин by (uid=0)
Dec  9 22:50:40 PC01 gdm-password][2055]: pam_ck_connector(gdm-password:session): nox11 mode, ignoring PAM_TTY :0
Dec  9 22:50:40 PC01 dbus[893]: [system] Rejected send message, 2 matched rules; type="method_call", sender=":1.37" (uid=116 pid=1814 comm="gnome-shell --mode=gdm ") interface="org.freedesktop.DBus.Properties" member="GetAll" error name="(unset)" requested_reply="0" destination=":1.20" (uid=0 pid=1365 comm="/usr/sbin/console-kit-daemon --no-daemon ")
Dec  9 22:50:40 PC01 gdm-launch-environment][1358]: pam_unix(gdm-launch-environment:session): session closed for user gdm
Dec  9 22:50:40 PC01 polkitd(authority=local): Unregistered Authentication Agent for unix-session:/org/freedesktop/ConsoleKit/Session1 (system bus name :1.37, object path /org/freedesktop/PolicyKit1/AuthenticationAgent, locale ru_RU.UTF-8) (disconnected from bus)
Dec  9 22:50:45 PC01 polkitd(authority=local): Registered Authentication Agent for unix-session:/org/freedesktop/ConsoleKit/Session2 (system bus name :1.60 [/usr/lib/policykit-1-gnome/polkit-gnome-authentication-agent-1], object path /org/gnome/PolicyKit1/AuthenticationAgent, locale ru_RU.UTF-8)
Dec  9 22:50:50 PC01 dbus[893]: [system] Rejected send message, 2 matched rules; type="method_call", sender=":1.64" (uid=1000 pid=2346 comm="/usr/lib/indicator-session/indicator-session-servi") interface="org.freedesktop.DBus.Properties" member="GetAll" error name="(unset)" requested_reply="0" destination=":1.20" (uid=0 pid=1365 comm="/usr/sbin/console-kit-daemon --no-daemon ")
Dec  9 22:50:52  dbus[893]: last message repeated 5 times
Dec  9 22:50:52 PC01 dbus[893]: [system] Rejected send message, 2 matched rules; type="method_call", sender=":1.66" (uid=1000 pid=2332 comm="/usr/lib/x86_64-linux-gnu/indicator-datetime-servi") interface="org.freedesktop.DBus.Properties" member="GetAll" error name="(unset)" requested_reply="0" destination=":1.20" (uid=0 pid=1365 comm="/usr/sbin/console-kit-daemon --no-daemon ")
Dec  9 23:09:01 PC01 CRON[3591]: pam_unix(cron:session): session opened for user root by (uid=0)
Dec  9 23:09:01 PC01 CRON[3591]: pam_unix(cron:session): session closed for user root
Dec  9 23:12:40 PC01 su[3995]: Successful su for mixmaster by root
Dec  9 23:12:40 PC01 su[3995]: + root:mixmaster
Dec  9 23:12:40 PC01 su[3995]: pam_unix(su:session): session opened for user mixmaster by (uid=0)
Dec  9 23:12:40 PC01 dbus[893]: [system] Rejected send message, 2 matched rules; type="method_call", sender=":1.64" (uid=1000 pid=2346 comm="/usr/lib/indicator-session/indicator-session-servi") interface="org.freedesktop.DBus.Properties" member="GetAll" error name="(unset)" requested_reply="0" destination=":1.20" (uid=0 pid=1365 comm="/usr/sbin/console-kit-daemon --no-daemon ")
Dec  9 23:12:41 PC01 su[3995]: pam_unix(su:session): session closed for user mixmaster
Dec  9 23:13:54 PC01 su[4058]: Successful su for proxy by root
Dec  9 23:13:54 PC01 su[4058]: + root:proxy
Dec  9 23:13:54 PC01 su[4058]: pam_unix(su:session): session opened for user proxy by (uid=0)
Dec  9 23:13:54 PC01 dbus[893]: [system] Rejected send message, 2 matched rules; type="method_call", sender=":1.64" (uid=1000 pid=2346 comm="/usr/lib/indicator-session/indicator-session-servi") interface="org.freedesktop.DBus.Properties" member="GetAll" error name="(unset)" requested_reply="0" destination=":1.20" (uid=0 pid=1365 comm="/usr/sbin/console-kit-daemon --no-daemon ")
Dec  9 23:13:54 PC01 su[4058]: pam_unix(su:session): session closed for user proxy
Dec  9 23:17:01 PC01 CRON[4158]: pam_unix(cron:session): session opened for user root by (uid=0)
Dec  9 23:17:01 PC01 CRON[4158]: pam_unix(cron:session): session closed for user root

[Spect]

во время установки TOR

странный у вас тор, имхо.. Де брали?

[Bars]

говорит, что tor взял из Центра приложений Ubuntu.
Пользователь решил продолжить мысль 05 Января 2014, 17:39:46:да, есть такой в репозитории, если дать поиск "tor", на 1м месте.

Очень коммент порадовал:

Всем привет сейчас я вам расскажу что это за штука такая.
Она позволяет работать вам с web-браузерами и со многими другими приложениями по протоколу TCP
 Короче говоря она позволяет предотвратить отслеживание ваших Internet-соединений .
Рекомендуется установить ещё Privoxy для полной безопасности"

[fisher74]

Ну, в принципе, создание пользователя с рутовыми правами для софта подобного назначения, учитывая принцип этой сети, вполне объяснимо. Тем более shell=/bin/false как бы намекает, что шелла для этих пользователей нет.
Я правда логи внимательно не смотрел - не совсем моя специализация. Да и не зная, что делал пользователь, достаточно трудно проводить анализ.
Пользователь решил продолжить мысль 05 Января 2014, 19:28:17:И просьба Вам и другим вопрошающим: хватит в личку срать, что Вас разродило на новую инфу - сами увидим...

[Spect]

http://www.insidepro.com/kk/237/237r.shtml Третья история прикольная - через "обновления ОС" Возможно, поставленный тор и пришел каким-то образом "неродной"?

(Нажмите, чтобы показать/скрыть)

Я всегда первым делом меняю в обновах "Сервер Украина" на "Основной"

[rumit]

Я всегда первым делом меняю в обновах на "Основной"

а ты уверен что основной чист?    анб не спит!

[Spect]

Я думаю, что если говорить об АНБ, ФСБ, всякое СБ итд, то им проще анализировать логи провайдеров на предмет "выявления источника" и степени подозрительности отдельных станций в сети от начала их путешествий в инете, а не от того, "откуда это сюда залезли и кто?". То есть - выработка условий поиска, например "данная станция лезет на внешний прокси", "данная станция лезет в сеть тора". То есть, неважно, куда там этот тип полез потом, "прикрывшись щитом" - факт, что он зачем-то прячется под щит. Тогда задача выявления подозрительных - сбор/анализ логов серваков интернет-провайдеров, и она реализуема. Еще мона порыться по системам - у кого древняя-ломаемая ХП, у кого есть файр или нет, у кого какой линь и какой степени обнов? Высвечивается на раз, кто закрыт и в какой степени. И если ты ставишь тор, у тебя линь, все последние-свежие обновы безопасности, файр, какие-то чем-то закрытые каналы - нудавай, поглядим, зачем ты туда палез? Канешно, палиться "лазить мышкой по экрану" никто из АНБ не станет, но ты "в списке" и возможно, комп твой уже просмотрен, и далее уже идет не стрельба по площадям, а выявление, чо ты там анонимно творишь?
Закрыть домашний комп при таком раскладе - бессмысленно.
Единственное в игре в прятки - идти в сеть с ливсд в интернет-клубе, и чтоб там видеокамер не было (а есть почти всюду), с лив-сессии с защищенного дистрибутива и ненадолго. С открытого вайфая среди города. С одноразовой симки и 3g модема. И то, выявить сие тоже мона, и оперативно среагировать при соответствующем оборудовании и грамотном штате. А с домашнего стационарника.. Возможно, уже давно есть схемы вычисления и обработки таких станций, и подкинуть ему свой-источник-обнов вместо родимого и дать паленых пакетов - возможно, уже есть такие "типовые решения".

[vlv]

говорит, что tor взял из Центра приложений Ubuntu.

Имхо, софт подобный "Tor" или "PGP" разумнее брать на их "родном" сайте с проверкой подписи.

[Spect]

Вечно меня в пятницу вечерком тянет по%%деть о чем-то )

(Нажмите, чтобы показать/скрыть)

Потом год-два проходит, встречаю кого-то с друзей, говорят - ну ты и сцуко, оказался прав

В ощем, о чем я - если выходишь на улицу в шлеме с рогами, то внимание на себя обратишь.

[fisher74]

(Нажмите, чтобы показать/скрыть)

В ощем, о чем я - если выходишь на улицу в шлеме с рогами, то внимание на себя обратишь.

Да и без рогов привлечёшь внимание.

[VinnyPooh]

завязываем оффтопить, дальше строго по теме

[gva230]

Пострадавший пробовал отключать свою беспроводную мышь, когда власть над курсором захватывал злоумышленник?
Пострадавший не заглядывал в датчик мыши на предмет застрявшего ворса или волоса?
Поверхность по которой елозится мышь не зеркальная, не глянцевая, не разноцветная, не бугристая?

А вдруг.

[Bars]

внимательно читаем 3й пост, в котором я написал:

"Я попросил отключить в офф клаву и мышь (они беспроводные). Отключил, но мышка реально бегала. При чем при попытке отправить комп в ребут активно мешала."

волосина в датчике при выключенной мышке, сильно сомневаюсь, что будет активно мешать отправить комп в ребут. Пришлось воспользоваться ресетом. Опять же прошу заметить не первый случай. Друг работает манагером по продажам. Дома в основном сидит в соцсетях и на торрентах.

Пользователь решил продолжить мысль 17 Января 2014, 00:36:52:за 10 дней на мою виртуалку с Tor-ом никто не заходил. Пробовал запускать виртуалку в разное время - тишина. Единственно максимум до 2х ночи. У друга последний случай (после которого обратился на форум) - произошел в районе 3х ночи.

Никто с Tor-ом не игрался?

Попробую покопаться в его логах, может отвлекся на Tor и не заметил нужное.

[peregrine]

А теперь главный вопрос: друг живёт в квартире? У меня есть смутные сомнения... Как он мышку свою беспроводную выключал? А то, если мышка мощная, а стены деревянные или тонкие или окно напротив очень близко, то может сосед с точно такой же мышкой сидеть и если модель мышки плохая, то датчик может время от времени терять свою мышку и подключаться к соседской, тогда у соседа мышка "зависает", он ей шевелит и курсор двигается на вашем экране.
Но если курсор ходит целенаправленно, то откуда он эту Ubuntu качал? Что покажет команда

Код: [Выделить]

ps -elaОбязателен, раз хакер не может скрыть свою активность, то и процесс тоже наверняка не может скрыть.
Пользователь решил продолжить мысль 17 Января 2014, 02:03:49:

Код: [Выделить]

cat /etc/apt/sources.listПользователь решил продолжить мысль 17 Января 2014, 02:07:15:Ещё полный образ винта не помешает, а то вдруг паршивец свои следы начнёт заметать.

[Tear]

А что скажут chkrootkit и rkhunter, мне интересно?