我的系统日志显示有人在今天凌晨 4 点将 iPhone USB 设备插入我的桌面，持续了大约 10 分钟。我正在检查物理安全日志，看看房间里是否有人，但与此同时，我正在尝试调查这些症状是否表明存在其他类型的入侵。我希望不是...

任何其他建议来调查这个？

系统：

Linux 主机名 2.6.35-28-generic #40-Ubuntu SMP Fri Mar 18:42:20 UTC 2011 x86_64 GNU/Linux Ubuntu 10.10

症状（主机名已被混淆）：

• Gnome 中打开的对话框，内容为"Unable to mount GEORGE's iPhone. DBus error org.freedeskop.DBus.Error.NoReply: Message did not receive a reply (timeout by message bus)".

• /var/log/kern.log 中的以下消息。所有其他记录的消息都是正常的。

  May 18 04:01:29 hostname kernel: [1250738.453932] usb 2-3: new high speed USB device using ehci_hcd and address 2
  May 18 04:01:31 hostname kernel: [1250740.692816] ipheth 2-3:4.2: Apple iPhone USB Ethernet device attached
  May 18 04:01:31 hostname kernel: [1250740.692906] usbcore: registered new interface driver ipheth
  May 18 04:12:23 hostname kernel: [1251392.150063] usb 2-3: USB disconnect, address 2
  May 18 04:12:23 hostname kernel: [1251392.270794] ipheth 2-3:4.2: Apple iPhone USB Ethernet now disconnected
  

• 以下新流程。可以考虑所有其他当前过程。

  root      5519     1 99 04:01 ?        05:24:11 /lib/udev/iphone-set-info
  root      5525   486  0 04:01 ?        00:00:00 udevd --daemon
  root      5526   486  0 04:01 ?        00:00:00 udevd --daemon
  

• iphone-set-info 进程已将一个核心固定为 100% 利用率。我只是在将机器从网络中物理删除后才注意到这一点。

  PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND                                                                            
  5519 root      18  -2 50028 2660 2108 R  100  0.0 455:36.10 iphone-set-info  
  

• /var/log/syslog 中的以下消息。所有后续消息都正常。php cron 消息正常。

  May 18 04:01:29 hostname kernel: [1250738.453932] usb 2-3: new high speed USB device using ehci_hcd and address 2
  May 18 04:01:31 hostname kernel: [1250740.692816] ipheth 2-3:4.2: Apple iPhone USB Ethernet device attached
  May 18 04:01:31 hostname kernel: [1250740.692906] usbcore: registered new interface driver ipheth
  May 18 04:01:33 hostname NetworkManager[1181]:    SCPlugin-Ifupdown: devices added (path: /sys/devices/pci0000:00/0000:00:1d.7/usb2/2-3/2-3:4.2/net/wwan0, iface: wwan0)
  May 18 04:01:33 hostname NetworkManager[1181]:    SCPlugin-Ifupdown: device added (path: /sys/devices/pci0000:00/0000:00:1d.7/usb2/2-3/2-3:4.2/net/wwan0, iface: wwan0): no ifupdown configuration found.
  May 18 04:09:01 hostname CRON[5572]: (root) CMD (  [ -x /usr/lib/php5/maxlifetime ] && [ -d /var/lib/php5 ] && find /var/lib/php5/ -depth -mindepth 1 -maxdepth 1 -type f -cmin +$(/usr/lib/php5/maxlifetime) -delete)
  May 18 04:12:23 hostname kernel: [1251392.150063] usb 2-3: USB disconnect, address 2
  May 18 04:12:23 hostname NetworkManager[1181]:    SCPlugin-Ifupdown: devices removed (path: /sys/devices/pci0000:00/0000:00:1d.7/usb2/2-3/2-3:4.2/net/wwan0, iface: wwan0)
  May 18 04:12:23 hostname vmnetBridge: RTM_DELLINK: name:wwan0 index:79 flags:0x00001002
  May 18 04:12:23 hostname avahi-daemon[1175]: Withdrawing workstation service for wwan0.
  May 18 04:12:23 hostname kernel: [1251392.270794] ipheth 2-3:4.2: Apple iPhone USB Ethernet now disconnected
  

• 对于任何用户来说，历史上没有什么不寻常的，bash 历史 zsh 等

• /var/log/auth 中没有异常

从未在这台机器上使用过 iphone 设备。我了解对话框和固定核心在未设置时是一个常见问题。

对我来说，所有证据都表明有人在凌晨 4 点插入电话，但如果物理安全日志（刷卡和视频）不支持这种假设，我需要怀疑某种远程攻击。任何其他建议来调查这个？

我的假设是清洁工插入手机充电 10 分钟，但我已采取预防措施锁定机器。