Меня взломали?

Question

Меня взломали?

Недавно я позволил хакеру (которого я встретил однажды и не очень хорошо знаю) подключиться к моему компьютеру через (я думаю, это был удаленный доступ)- мне пришлось указать свой IP-адрес на стороннем веб-сайте и нажать кнопку, и он имел полный доступ к своему рабочему столу и использовал свой командный терминал в Ubuntu 11.04 для выполнения серии установок (с которыми мне требовалась помощь), а затем отключился.

Вскоре после этого я начал испытывать случайные вещи - пасьянсы, которые открывались случайным образом, когда я возвращался, оставляя их без присмотра, и некоторые другие странные вещи.

Глазурь на торте была такая:

Когда я набрал команду 'who' в терминале, вот что я получил:

* 'myusername' tty7 2007-04-26 00:14 (: 0)

* 'myusername' pts / 0 2011-11-11 21:45 (: 0)

Поэтому я обеспокоен тем, что на тот момент у меня даже не было этого ноутбука, но только у меня была двойная загрузка Ubuntu в моей системе.

Думаешь, меня взломали? или это просто дата появления настольной среды Natty?

Кто знает. Я могу быть параноиком.

4

security tty remote-access

Источник

Erik Lipkin 01 мар '12 в 00:37

2 ответа

Другие вопросы по тегам security tty remote-access

Luis Alvarado 01 мар '12 в 01:04 2012-03-01 01:04 · Answer 1 · 2012-03-01 01:04

Если вы думаете, что вас взломали, есть несколько быстрых способов остановить удаленный доступ:

Бежать vino-preferences и посмотреть, если он активирован. Если это так, снимите все флажки и, если вам это нужно, измените пароль.
Измените свой пароль пользователя. Это затруднит доступ через ssh к этому пользователю.
Убедитесь, что нет другой учетной записи пользователя. Из терминала вы можете сделать что-то вроде этого: cat /etc/passwd|grep '/bin/bash' но есть другие GUI и терминальные способы.
Отключите SSH-сервер, если он установлен. Тип sudo apt-get purge openssh-server, Если у вас ничего не случится. Если он у вас есть, он попросит вас удалить.

До сих пор вы только что заблокировали удаленный доступ к службам VNC и SSH.

Теперь проверьте, запущен ли какой-либо скрипт при запуске ПК. Например, что-то, что отправляется кому-то снаружи. Это подразумевает необходимость проверять много мест. Например:

Проверьте все папки /etc/rc*. Например /etc/rc0.d, /etc/rc1.d....
Проверьте /etc/init.d из странного сервиса, которого там не должно быть.
Проверьте, что cron не запускает что-то. Пример: crontab -e покажет, что cron работает для вашего пользователя.
Проверь это ufw включен и не имеет порта для пересылки. Также проверьте iptables для этого. Если порт переадресован, может показаться, что он пытается получить прямой доступ к ПК.
Любое другое место, которое может быть использовано для автоматического запуска чего-либо.

Есть много других способов, но это быстрый и простой способ.

Marco Ceppi 01 мар '12 в 01:11 2012-03-01 01:11 · Answer 2 · 2012-03-01 01:11

192.168.1.1 - это IP-адрес вашего маршрутизатора, это не сторонний веб-сайт. То, что вы сделали, это открыли доступ к вашей машине через SSH или VNC, перенаправив этот порт наружу. Если вы повторите шаги, но вместо того, чтобы вводить значения, удалите значения, к которым у вас будет серьезный доступ. Странно, что будет отображаться пользователь, вошедший в систему с 2007 года, после удаления переадресации порта перезагрузите компьютер, чтобы отключить все подключенные сеансы.