Estou sendo hackeado?

Navegue suas respostas
4

Recentemente, um hacker (que conheci uma vez e não conheço muito bem) se conectou ao meu computador (acho que foi o acesso remoto) - precisei preencher meu IP em um site de terceiros e clicar em um botão e ele tinha acesso total ao meu desktop e usou o meu terminal de comando no Ubuntu 11,04 para fazer uma série de instalações (que eu precisava de ajuda) e, em seguida, desconectado.

Pouco depois, comecei a experimentar aleatoriamente coisas - jogos de paciência sendo abertos aleatoriamente quando eu voltava após deixá-lo desacompanhado e outras coisas estranhas.

A cereja no topo do bolo foi esta:

Quando eu digitei o comando 'who' no terminal, aqui está o que eu recebi:

* 'myusername' tty7 2007-04-26 00:14 (: 0)

* 'myusername' pts / 0 2011-11-11 21:45 (: 0)

Então, minha preocupação é que eu nem possuía esse laptop naquela data, mas ainda tenho o dual boot do Ubuntu no meu sistema.

Acho que estou sendo hackeado? ou é apenas a data da origem do ambiente de desktop Natty?

Quem sabe. Eu posso ser paranóico.

    
por Erik Lipkin 01.03.2012 / 01:37

2 respostas

8

Se você acha que está sendo hackeado, há várias coisas rápidas que você pode fazer para impedir o acesso remoto:

  1. Execute vino-preferences e veja se ele está ativado. Se estiver, desmarque todas as opções e, se precisar, altere a senha.

  2. Altere sua senha de usuário. Isso tornaria difícil acessar via ssh com esse usuário.

  3. Verifique se não há outra conta de usuário. Do terminal você pode fazer algo parecido com isto: cat /etc/passwd|grep '/bin/bash' , mas existem outras maneiras de interface gráfica e terminais.

  4. Desative o servidor SSH caso você o tenha instalado. Digite sudo apt-get purge openssh-server . Se você não tem nada vai acontecer. Se você o tiver, ele pedirá a remoção.

Até agora você acabou de bloquear que os serviços VNC e SSH sejam acessados remotamente.

Agora verifique se você tem algum script em execução quando o PC é iniciado. Por exemplo, algo que está sendo enviado para alguém de fora. Isto implica ter que verificar muitos lugares. Por exemplo:

  • Verifique todas as pastas / etc / rc *. Por exemplo, /etc/rc0.d, /etc/rc1.d ....
  • Verifique o /etc/init.d de um serviço estranho que não deveria estar lá.
  • Verifique se o cron não está executando algo. Exemplo: crontab -e mostrará o que o cron executa para seu usuário.
  • Verifique se ufw está ativado e se não tem um encaminhamento de porta. Além disso, verifique o iptables para isso. Se uma porta for encaminhada, pode parecer que ele está tentando ter acesso direto ao PC.
  • Qualquer outro local que possa ser usado para executar algo automaticamente.

Existem muitas outras formas, mas estas são rápidas e básicas.

    
por Luis Alvarado 01.03.2012 / 02:04
5

192.168.1.1 é o endereço IP do seu roteador, não é um site de terceiros. O que você fez é abrir SSH ou VNC, acessar sua máquina enviando essa porta para fora. Se você repetir as etapas, mas ao invés de inserir os valores, remova os valores que você deve poder acessar severamente. É estranho que mostre um usuário logado em 2007, depois de remover a porta para frente, reinicie sua máquina para desconectar todas as sessões conectadas.

    
por Marco Ceppi 01.03.2012 / 02:11

Tags

O Ubuntu 12.04LTS pode caber em um CD normal de 700MB, ou eu preciso de um DVD? Como usar o rsync de dentro de um script python? [fechadas]