问有人真的把iphone插上了吗，还是有人试图利用这些症状？

EN

我的syslog显示，今天凌晨4点，有人在我的桌面上插入了一个iPhone USB设备，时间大约为10分钟。我正在检查物理安全日志，看看是否有人在房间里，但与此同时，我试图调查这些症状是否可能表明其他类型的入侵。我希望不是..。

还有其他建议来调查这件事吗？

系统：

Linux主机名2.6.35-28-通用#40-Ubuntu FriMar18:42:20 UTC 2011 x86_64 GNU/LinuUbuntu10.10

症状(主机名已被混淆)：

• Gnome中一个打开的对话框，用于读取"Unable to mount GEORGE's iPhone. DBus error org.freedeskop.DBus.Error.NoReply: Message did not receive a reply (timeout by message bus)"。
• /var/log/kern.log中的下列消息。所有其他记录的消息都是正常的。5月18日04:01:29主机名内核：1250738.453932 USB 2-3:新的高速usb设备使用ehci_hcd和地址2 04:01:31主机名内核：1250740.692816 ipheth 2-3:4.2: Apple iPhone USB以太网设备附件5 18 04:01:31主机名内核：1250740.692906 usbcore:注册新接口驱动程序i斐th ipheth 004:12:23主机名内核：1251392.150063 usb 2-3: USB断开，地址18 04:12:23主机名内核：1251392.270794 ipheth 2-3:4.2: Apple iPhone USB以太网现在断开连接。
• 以下新过程。所有其他当前进程都可以计算在内。根5519 1 99 04:01 ? 05:24:11 /lib/udev/iphone-set-info root 5525 486 0 04:01 ? 00:00:00 :00 udevd -守护进程根5526 486 04:01 ? 00:00:00 udevd --守护进程
• iphone-set-info进程将一个核心固定在100%的利用率上。我只是在物理上将机器从网络中移除之后才注意到这一点。PID用户PR NI VIRT表示SHR S %CPU %MEM TIME+命令5519根18 -2 50028 2660 2108 r 100 0.0 455:36.10 iphone-set-info
• /var/log/syslog中的下列消息。所有后续消息都是正常的。php cron消息是正常的。5月18日04:01:29主机名内核：1250738.453932 USB 2-3:新的高速USB设备使用ehci_hcd和地址2 04:01:31主机名内核：1250740.692816 ipheth 2-3:4.2: Apple iPhone usb以太网设备附加于5月18日04:01:31主机名内核：1250740.692906 usbcore:注册新接口驱动程序i斐th 004:01:33主机名NetworkManager一千一百八十一：SCPlugin-Ifupdown:设备添加(路径:/sys/设备/pci0000:00/0000:00:1d.7/USB 2)/2-3/2-3:4.2/net/wwan0，iface: wwan0) 5月18日04:01:33主机名NetworkManager一千一百八十一：SCPlugin:设备添加(路径:路径:ifac面: wwan0)：未找到ifupdown配置。5月18日04:09:01主机名CRON五五七二：(root) CMD ( -x /usr/lib/php5 5 5/usr生存期 && -d /var/lib/php5 5 5 && find /var/lib/php5 5/ -depth -mindepth 1 -maxdepth 1 -type f -cmin +$(/usr/lib/php5 5/max生存期) -delete) 5月18日04:12:23主机名内核：1251392.150063 usb 2-3: USB断开，地址: 18 04:12:23主机名NetworkManager一千一百八十一：SCPlugin-Ifupdown:设备删除(路径:NetworkManager iface: wwan0) 004:12:23主机名vmnetBridge: RTM_DELLINK:名称: wwan0索引:79标志:0x00001002 004:12:23主机名avahi-守护程序一千一百七十五：撤回wwan0工作站服务。5月18日04:12:23主机名内核：1251392.270794 i斐th 2-3:4.2: Apple iPhone USB以太网现在断开连接
• 任何用户在历史、bash历史zsh等方面没有什么不寻常之处。
• 在/var/log/auth中没有什么异常

iphone设备从未在这台机器上使用过。我理解对话和固定核心是一个常见的问题，当它没有设置。

对我来说，所有的证据都表明凌晨4点有人插上了手机，但如果物理安全日志(刷卡和视频)不支持这一假设，我需要怀疑某种远程攻击。还有其他建议来调查这件事吗？

我的假设是，清洁工插入手机充电10分钟，但我已经采取了预防措施，以锁定机器。