Como posso verificar se alguém acessou meu computador?

Question

Como posso verificar se alguém acessou meu computador?

#1 resposta do user76204 (4 votos)
#2 resposta do Martin Owens -doctormo- (2 votos)

4

Eu preciso verificar a lista de arquivos acessados no meu computador (ex: ontem em determinado momento). É possível?

Ou

Eu preciso verificar se alguém acessou meu computador (quando eu o deixei desbloqueado) ou não por um determinado período.

por sudhan89 14.08.2012 / 09:08

2 respostas

Ubuntu: Kerberos com LDAP sshplus arquivo de configuração

score 4 · Answer 1

Suponho que você não acha que seu computador foi totalmente comprometido (para verificar quem está executando os comandos sudo, consulte /var/log/auth.log ). É possível encontrar rapidamente arquivos não pertencentes ao usuário em sua pasta pessoal e também a que horas os arquivos foram acessados usando o comando find (use -type f para arquivos e -type d para diretórios). Para os exemplos a seguir, suponho que você esteja executando a partir do nível mais alto de sua pasta pessoal (apenas digite cd para acessá-la) e que não deseja pesquisar os arquivos no diretório-raiz.

1) Para localizar todos os arquivos que NÃO são de seu usuário conectado na sua pasta pessoal, digite:

find ~ -type f ! -user $USER

1.1) Para encontrar todos os arquivos que não pertencem a nenhum usuário legítimo (eles não devem existir), digite:

find ~ -type f -nouser

2) Como os arquivos no sistema têm três timestamps chamados mtime (tempo de modificação do arquivo), ctime (tempo de alteração do inode e permissões) e atime (tempo de acesso ao arquivo), eles podem ser consultados como os arquivos foram modificados. Muitas vezes, é debatido quais são os melhores para usar, mas provavelmente a melhor maneira de descobrir quando os arquivos foram acessados ou modificados é usar o comando find para pesquisar atime e mtime , com o qual você especifica dias atrás, e as find options amin e mmin , com as quais você especificou minutos atrás.

Para cada um desses comandos, as mesmas opções de comando são usadas: por exemplo, -atime 1 corresponderá aos arquivos que foram acessados exatamente 1 dia atrás; para especificar mais ou menor que , anexe um + ou um - , respectivamente. Os exemplos abaixo podem esclarecer tudo isso (especifique -type d para diretórios):

find ~ -type f -atime 1 
find ~ -type f -amin -23
find ~ -type f -mtime 2    
find ~ -type f -mmin -45

3) Para combinar minhas abordagens até agora, você pode inserir os seguintes comandos em sua pasta pessoal:

Pesquise arquivos em seu diretório pessoal que não sejam de propriedade de $ USER e que tenham sido acessados pela última vez há menos de dois dias.

find ~ -type f -atime -2 ! -user $USER

Pesquise arquivos em seu diretório pessoal que não sejam de propriedade de $ USER e que tenham sido modificados pela última vez há menos de dois dias.

find ~ -type f -mtime -2 ! -user $USER

score 2 · Answer 2

Se o seu computador estivesse bloqueado, você poderia verificar o log de autenticação, que registra cada evento de login e desbloqueio com data e hora.

Não há nenhuma maneira direta de saber se alguém estava acessando um computador desbloqueado, sem ter um programa especial instalado para rastrear a atividade. Mas informações indiretas podem ser usadas para inferir o acesso.

O histórico do navegador, por exemplo, geralmente informa a que horas os sites foram acessados. Também os arquivos acessados recentemente pelo gnome mostrarão arquivos abertos. Você pode fazer isso indo até o Dash Menu do Unity e clicando em expandir na seção de arquivos usados recentemente:

Se você precisar de uma lista mais definitiva (incluindo arquivos acessados por programas não-gnome), precisaríamos escrever um script curto para detectar todos os arquivos com acesso ou tempos de gravação entre o intervalo suspeito. Talvez alguém já tenha escrito isso, mas eu nunca ouvi falar disso.