web-dev-qa-db-ja.com

Linuxパスワードが変更されました。これは攻撃かハードウェアの不具合か?

Linux(Ubuntu 12.04)のパスワードが昨夜突然変更されました。これが攻撃なのか、ハードウェア/ユーザーのエラーなのかはわかりません。これは個人用/サーバー以外の箱にあります。以下に列挙するいくつかの奇妙なイベントがそれに至りました:

  • Webページを閲覧しているときに、下にスクロールできないようです。私の右手はマウスの上にあり、食べ物を食べたままだったので、誤ってキーを押さなかったと確信しています。私はshowkeyを実行して、時々、keycode 104イベント。 104はPg Upのようです。
  • 次に、Sudoコマンドを呼び出すときにパスワードを正しく取得できないように思われることがありました。ただし、パスワードをコピーして貼り付けると、Sudoで認証を受けることができます。
  • この時点で疑わしくなり、不要なログインがボックスにあるかどうかを確認しました。 whoコマンドは期待どおりに戻り(つまり、私と私の開いている端末のみ)、sshdが実行されていないか、(telnet経由で)ポート22にアクセスできません。
  • 結局、私は画面をロックし、戻ったときにパスワードの入力を求められ、それを正しく入力できなくなりました。
  • 私のマシンはWindows 8のデュアルブートです。Windows8にログインしようとすると、パスワードを入力すると、パスワード(19文字、Ubuntuと同じ)を入力すると、カーソルがいきなり最初のキャラクターにシフト。たとえば、私のパスワードが「password」の場合、そのまま入力すると「dpasswor」になります。これは私が行動を観察するまで私に数回得ました。 Windows 8では、入力したパスワードを表示するオプションを使用できるので便利です。それでも編集してWindowsにログインできます。

私のキーボードがこのように誤作動したのはこれが初めてではありません。昨年、信号をスパム送信したのは方向ボタンでした。特に気になったのは、自分のマシンからロックアウトされたこと、そしてパスワードを変更して奇妙な振る舞いをすべて導入することが見られただということです。

私はそれを一晩放置し、今日起きて問題に対処しました。 Windowsは、最後の弾丸の奇妙な動作を表示しなくなりました。 Linuxのパスワードをリセットすることができました(当面はもっと短いものに)。 whoとtelnet/sshはこれまでと同じであり、不要なキープレス104信号を観察しなくなったようです。あなたが私に取るようにアドバイスする他のステップはありますか?

passwordslinuxthreat-mitigation
13
skytreader

あなたは質問をするのは正しいです。あなたが説明する状況は、攻撃とハードウェア障害(つまり、キーボード障害)の両方を可能にします。

発生前に/ etc/shadowのコピーがいくつかあり、ソルトされたハッシュが異なるかどうかを確認できた場合、これはパスワードが実際に変更され、単にの入力に問題がなかっただけの良い兆候でした。パスワードの入力中にカーソルの位置を変更するキーボードによって送信されたキープレスによるパスワード。あなたはたまにバックアップを取る人の一人だったかもしれないので、発生する前にコピーを持っているかもしれませんし、パスワードを再変更した後に/etc/shadowファイルのコピーを作成したかもしれません。次に、そこで矛盾をチェックします。

ハードウェア障害の説明に賛成するのは、Win8ログイン時に、ハッキングの結果ではなくキーボードの誤動作のように思われる問題が発生したということです。あるいは、Windowsパスワードが攻撃によって変更されるべきではないことは少なくとも奇妙に思えます。それは可能であり、攻撃者はLinuxで何かを隠蔽したり、win8ログインに疑いを持たせたりするべきではなかったからです。不必要に疑いをかけるのは奇妙に思える。

もちろん、ハードウェア障害に対するハッキングを想定するためのより良い変更があるかどうかの判断を下すためには、どのWebサイトにアクセスしていたかを知っていた方がいいでしょう。確かに、Webの一部の地域では、最初にブラウザを攻撃することでシステムを攻撃する可能性が高くなります。

ウェイランドではなくX11を使用していることを示したように(ご存知のとおり、セットアップにはまだ時間がかかります)、ブラウザーからターミナル/ SudoへのX11のベクトルが存在します。

答えが決まった答えではなく申し訳ありませんが、あなたが推測するのを助けようとするだけです。たぶんあなたは幸運で、/etc/shadowからいくつかの洞察を得ることができます。パスワードを変更した場合、パスワードを反映する可能性が高くなります。あなた自身がパスワードを変更しなかったので、/etc/shadowで認識された変更は、ハッキングがあったことをほのめかします

14
humanityANDpeace

Webページを閲覧しているときに、下にスクロールできないようです。私の右手はマウスの上にあり、左は食べ物を食べるだったので、誤ってキーを押していなかったと確信しています。私はshowkeyを実行しましたが、時々、キーコード104のイベントによってスパム送信されることがわかりました。 104はPg Upのようです。

Windows 8にログインしようとすると、パスワードを入力すると、パスワード(19文字、Ubuntuと同じ)を入力すると、カーソルが突然最初の文字)に移動します。。たとえば、私のパスワードが「password」の場合、そのまま入力すると「dpasswor」になります。

他に質問は? :) PgUpキーの下に食べ物が詰まっているか、マザーボードのヘアラインクラックのような電子的な問題です。

これがパスワードファイルにどのような影響を与える可能性があるのか​​は不思議ですが、恐らくそうではなく、ジャンプしてしまいましたか? PgUpキーストロークがパスワードの一部として解釈される可能性が高くなります。

26
user55886