誰かが本当にiPhoneを接続したのか、それともエクスプロイトの試みのこれらの症状なのか？

私のsyslogは、誰かがiPhone USBデバイスを今日の午前4時に約10分の私のデスクトップに差し込んだことを示しています。物理的なセキュリティログをチェックして、部屋に誰かがいたかどうかを確認していますが、その間、これらの症状が他の種類の侵入を示しているかどうかを調査しようとしています。私は望んでいない...

これを調査するための他の提案はありますか？

システム：

Linuxホスト名2.6.35-28-generic＃40-Ubuntu SMP Fri Mar 18:42:20 UTC 2011 x86_64 GNU/Linux Ubuntu 10.10

症状（ホスト名が難読化されています）：

• "Unable to mount GEORGE's iPhone. DBus error org.freedeskop.DBus.Error.NoReply: Message did not receive a reply (timeout by message bus)"を読み取るGnomeの開いているダイアログ。

• /var/log/kern.log内の次のメッセージ。他のすべてのログメッセージは正常です。

  May 18 04:01:29 hostname kernel: [1250738.453932] usb 2-3: new high speed USB device using ehci_hcd and address 2
  May 18 04:01:31 hostname kernel: [1250740.692816] ipheth 2-3:4.2: Apple iPhone USB Ethernet device attached
  May 18 04:01:31 hostname kernel: [1250740.692906] usbcore: registered new interface driver ipheth
  May 18 04:12:23 hostname kernel: [1251392.150063] usb 2-3: USB disconnect, address 2
  May 18 04:12:23 hostname kernel: [1251392.270794] ipheth 2-3:4.2: Apple iPhone USB Ethernet now disconnected
  

• 以下の新しいプロセス。他のすべての現在のプロセスを説明できます。

  root      5519     1 99 04:01 ?        05:24:11 /lib/udev/iphone-set-info
  root      5525   486  0 04:01 ?        00:00:00 udevd --daemon
  root      5526   486  0 04:01 ?        00:00:00 udevd --daemon
  

• Iphone-set-infoプロセスにより、1つのコアが100％の使用率で固定されました。マシンをネットワークから物理的に削除して初めて、このことに気付きました。

  PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND                                                                            
  5519 root      18  -2 50028 2660 2108 R  100  0.0 455:36.10 iphone-set-info  
  

• / var/log/syslog内の次のメッセージ。後続のメッセージはすべて正常です。 PHPのcronメッセージは正常です。

  May 18 04:01:29 hostname kernel: [1250738.453932] usb 2-3: new high speed USB device using ehci_hcd and address 2
  May 18 04:01:31 hostname kernel: [1250740.692816] ipheth 2-3:4.2: Apple iPhone USB Ethernet device attached
  May 18 04:01:31 hostname kernel: [1250740.692906] usbcore: registered new interface driver ipheth
  May 18 04:01:33 hostname NetworkManager[1181]:    SCPlugin-Ifupdown: devices added (path: /sys/devices/pci0000:00/0000:00:1d.7/usb2/2-3/2-3:4.2/net/wwan0, iface: wwan0)
  May 18 04:01:33 hostname NetworkManager[1181]:    SCPlugin-Ifupdown: device added (path: /sys/devices/pci0000:00/0000:00:1d.7/usb2/2-3/2-3:4.2/net/wwan0, iface: wwan0): no ifupdown configuration found.
  May 18 04:09:01 hostname CRON[5572]: (root) CMD (  [ -x /usr/lib/php5/maxlifetime ] && [ -d /var/lib/php5 ] && find /var/lib/php5/ -depth -mindepth 1 -maxdepth 1 -type f -cmin +$(/usr/lib/php5/maxlifetime) -delete)
  May 18 04:12:23 hostname kernel: [1251392.150063] usb 2-3: USB disconnect, address 2
  May 18 04:12:23 hostname NetworkManager[1181]:    SCPlugin-Ifupdown: devices removed (path: /sys/devices/pci0000:00/0000:00:1d.7/usb2/2-3/2-3:4.2/net/wwan0, iface: wwan0)
  May 18 04:12:23 hostname vmnetBridge: RTM_DELLINK: name:wwan0 index:79 flags:0x00001002
  May 18 04:12:23 hostname avahi-daemon[1175]: Withdrawing workstation service for wwan0.
  May 18 04:12:23 hostname kernel: [1251392.270794] ipheth 2-3:4.2: Apple iPhone USB Ethernet now disconnected
  

• すべてのユーザーにとって、履歴、bash履歴zshなどに異常はありません。

• / var/log/authに異常はありません

このマシンでは、iPhoneデバイスは使用されていません。ダイアログとピン留めされたコアがセットアップされていない場合の一般的な問題であることを理解しています。

私にとって、すべての証拠は誰かが午前4時に電話を差し込んだことを示唆していますが、物理的なセキュリティログ（スワイプカードとビデオ）がこの仮定をサポートしていない場合、何らかのリモートエクスプロイトを疑う必要があります。これを調査するための他の提案はありますか？

私の仮説は、10分間充電するために電話に接続されたクリーナーですが、私はマシンをロックダウンするように予防策を講じています。