Como posso verificar se alguém acessou meu computador?

Navegue suas respostas
4

Eu preciso verificar a lista de arquivos acessados no meu computador (ex: ontem em determinado momento). É possível?

Ou

Eu preciso verificar se alguém acessou meu computador (quando eu o deixei desbloqueado) ou não por um determinado período.

    
por sudhan89 14.08.2012 / 11:08

2 respostas

4

Suponho que você não acha que seu computador foi totalmente comprometido (para verificar quem está executando os comandos sudo, consulte /var/log/auth.log ). É possível encontrar rapidamente arquivos não pertencentes ao usuário em sua pasta pessoal e também a que horas os arquivos foram acessados usando o comando find (use -type f para arquivos e -type d para diretórios). Para os exemplos a seguir, suponho que você esteja executando a partir do nível mais alto de sua pasta pessoal (apenas digite cd para acessá-la) e que não deseja pesquisar os arquivos no diretório-raiz.

1) Para localizar todos os arquivos que NÃO são de seu usuário conectado na sua pasta pessoal, digite: 

find ~ -type f ! -user $USER

1.1) Para encontrar todos os arquivos que não pertencem a nenhum usuário legítimo (eles não devem existir), digite: 

find ~ -type f -nouser

2) Como os arquivos no sistema têm três timestamps chamados mtime (tempo de modificação do arquivo), ctime (tempo de alteração do inode e permissões) e atime (tempo de acesso ao arquivo), eles podem ser consultados como os arquivos foram modificados. Muitas vezes, é debatido quais são os melhores para usar, mas provavelmente a melhor maneira de descobrir quando os arquivos foram acessados ou modificados é usar o comando find para pesquisar atime e mtime , com o qual você especifica dias atrás, e as find options amin e mmin , com as quais você especificou minutos atrás.

Para cada um desses comandos, as mesmas opções de comando são usadas: por exemplo, -atime 1 corresponderá aos arquivos que foram acessados exatamente 1 dia atrás; para especificar mais ou menor que , anexe um + ou um - , respectivamente. Os exemplos abaixo podem esclarecer tudo isso (especifique -type d para diretórios): 

find ~ -type f -atime 1 
find ~ -type f -amin -23
find ~ -type f -mtime 2    
find ~ -type f -mmin -45

3) Para combinar minhas abordagens até agora, você pode inserir os seguintes comandos em sua pasta pessoal:

  • Pesquise arquivos em seu diretório pessoal que não sejam de propriedade de $ USER e que tenham sido acessados pela última vez há menos de dois dias.

find ~ -type f -atime -2 ! -user $USER

  • Pesquise arquivos em seu diretório pessoal que não sejam de propriedade de $ USER e que tenham sido modificados pela última vez há menos de dois dias.

find ~ -type f -mtime -2 ! -user $USER

    
por user76204 14.08.2012 / 13:04
2

Se o seu computador estivesse bloqueado, você poderia verificar o log de autenticação, que registra cada evento de login e desbloqueio com data e hora.

Não há nenhuma maneira direta de saber se alguém estava acessando um computador desbloqueado, sem ter um programa especial instalado para rastrear a atividade. Mas informações indiretas podem ser usadas para inferir o acesso.

O histórico do navegador, por exemplo, geralmente informa a que horas os sites foram acessados. Também os arquivos acessados recentemente pelo gnome mostrarão arquivos abertos. Você pode fazer isso indo até o Dash Menu do Unity e clicando em expandir na seção de arquivos usados recentemente:

Se você precisar de uma lista mais definitiva (incluindo arquivos acessados por programas não-gnome), precisaríamos escrever um script curto para detectar todos os arquivos com acesso ou tempos de gravação entre o intervalo suspeito. Talvez alguém já tenha escrito isso, mas eu nunca ouvi falar disso.

    
por Martin Owens -doctormo- 14.08.2012 / 13:02

Tags

Correção do grub2 após a instalação do ubuntu 12.04 Como redimensionar uma partição home criptografada ext4?