ハッキングされたパーソナルコンピューター：このユーザーが再度ログインするのをブロックするにはどうすればよいですか？彼らがどのようにログインしているかを知るにはどうすればよいですか？

私のパソコンのシステムが侵入されたことは99.9％確信しています。状況が明確になるように、最初に推論を述べさせてください。

不審なアクティビティの大まかなタイムラインとその後のアクション：

4-26 23:00
すべてのプログラムを終了し、ラップトップを閉じました。

4-27 12:00
約13時間サスペンドモードになってからラップトップを開きました。次を含む複数のウィンドウが開いていました：2つのchromeウィンドウ、システム設定、ソフトウェアセンター。デスクトップにgitインストーラーがありました（チェックしましたが、インストールされていません）。

4-27 13:00
Chrome履歴には、私のメールへのログイン、および「gitのインストール」など、開始しなかった他の検索履歴（4-27の01:00から03:00まで）が表示されました。ブラウザにDigital Oceanの「bashプロンプトをカスタマイズする方法」というタブが開いていました。私はそれを閉じた後、数回再開しました。 Chromeのセキュリティを強化しました。

WiFiから切断しましたが、再接続すると、標準の記号ではなく上下の矢印記号が表示され、Wifiのドロップダウンメニューにネットワークのリストがなくなりました
[接続の編集]の下で、4-27の〜05：30にラップトップが "GFiberSetup 1802"というネットワークに接続されていることに気付きました。 1802 xx Driveの隣人はGoogle Fiberをインストールしたばかりなので、関連していると思います。

4-27 20:30
whoコマンドは、guest-g20Zooという名前の2番目のユーザーがシステムにログインしていることを明らかにしました。これは、Ubuntuを実行するプライベートラップトップであり、システム上に他の人がいないはずです。パニック、Sudo pkill -9 -u guest-g20Zooを実行し、ネットワークとWifiを無効にしました

私は/var/log/auth.logを見て、これを見つけました：

Apr 27 06:55:55 Rho useradd[23872]: new group: name=guest-g20Zoo, GID=999  
Apr 27 06:55:55 Rho useradd[23872]: new user: name=guest-g20Zoo, UID=999, GID=999, home=/tmp/guest-g20Zoo, Shell=/bin/bash    
Apr 27 06:55:55 Rho su[23881]: Successful su for guest-g20Zoo by root  
Apr 27 06:55:55 Rho su[23881]: + ??? root:guest-g20Zoo  
Apr 27 06:55:55 Rho su[23881]: pam_unix(su:session): session opened for user guest-g20Zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20Zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd-logind[767]: New session c3 of user guest-g20Zoo.  
Apr 27 06:55:56 Rho su[23881]: pam_unix(su:session): session closed for user guest-g20Zoo  
Apr 27 06:55:56 Rho systemd-logind[767]: Removed session c3.  
Apr 27 06:55:56 Rho lightdm: pam_unix(lightdm-autologin:session): session opened for user guest-g20Zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session closed for user guest-g20Zoo  
Apr 27 06:55:56 Rho systemd-logind[767]: New session c4 of user guest-g20Zoo.  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20Zoo by (uid=0)  
Apr 27 06:56:51 Rho pkexec: pam_unix(polkit-1:session): session opened for user root by (uid=1000)  
Apr 27 06:56:51 Rho pkexec: pam_systemd(polkit-1:session): Cannot create session: Already running in a session

申し訳ありませんが、大量の出力ですが、それはログ内のguest-g20Zooからのアクティビティの大部分であり、すべて数分以内です。

/etc/passwdもチェックしました：

guest-G4J7WQ:x:120:132:Guest,,,:/tmp/guest-G4J7WQ:/bin/bash

そして/etc/shadow：

root:!:16669:0:99999:7:::  
daemon:*:16547:0:99999:7:::  
.  
.  
.   
nobody:*:16547:0:99999:7:::  
rhobot:$6$encrypted-passwd-cut-for-length.:16918:0:99999:7:::  
guest-G4J7WQ:*:16689:0:99999:7:::  
.  
.

この出力が私の状況にとって何を意味するのか完全には理解していません。 guest-g20Zooとguest-G4J7WQは同じユーザーですか？

lastlogは以下を示します。

guest-G4J7WQ      Never logged in

ただし、lastは以下を示します。

guest-g20Zoo      Wed Apr 27 06:55 - 20:33 (13:37)

そのため、彼らは同じユーザーではないようですが、guest-g20Zooはlastlogの出力に見当たりません。

ゲストguest-g20Zooのアクセスをブロックしたいのですが、（s）彼は/etc/shadowに表示されないため、ログインにパスワードを使用せず、sshを使用するとpasswd -l guest-g20Zoo仕事？

systemctl stop sshdを試しましたが、次のエラーメッセージが表示されました。

Failed to stop sshd.service: Unit sshd.service not loaded

これは、システムですでにリモートログインが無効になっているため、上記のコマンドは冗長であるということですか？

ログインしたIPアドレスなど、この新しいユーザーに関する詳細情報を検索しようとしましたが、何も見つからないようです。

関連する可能性のある情報：
現在、私は大学のネットワークに接続しており、WiFiアイコンは正常に表示され、すべてのネットワークオプションが表示されます。また、奇妙なブラウザは表示されません。これは、私のシステムにログインしている人が自宅のWiFiルーターの範囲内にいることを示していますか？

chkrootkitとすべてseemedを実行しましたが、すべての出力を解釈する方法もわかりません。ここで何をすべきか本当にわかりません。この人（または他の人）が私のシステムに再びアクセスすることは絶対にできないことを絶対に確認したいので、作成した隠しファイルを見つけて削除したいです。お願いします！

追伸-WiFiとネットワークが無効になっている間に、すでにパスワードを変更し、重要なファイルを暗号化しました。