Meu computador pode ter sido comprometido, o que devo fazer?

Navegue suas respostas
3

Algumas semanas atrás, minha máquina (chamada de "main") foi conectada sem fio por um host não autorizado, provavelmente usando o ssh. Eu não detectei a invasão até alguns dias atrás e minha máquina está completamente desligada. Eu encontrei o login usando esta linha de last : 

myusername    pts/1        ipad             Tue Oct 15 22:23 - 22:25  (00:02)

Escusado será dizer que, não só ninguém na minha família possui um iPad, mas quase nenhum dos meus amigos, também. Isso me faz suspeitar que quem estava por trás disso mudou o nome do host de sua máquina.

Além disso, descobri essa linha na saída last em outra máquina minha ("secundária"): 

myusername    pts/2        :0               Tue Oct 15 22:23 - 22:23  (00:00)

Esta linha coincide com o timestamp do main, que tem acesso ssh sem senha (através de chaves) ao secundário. É possível que quem invadiu a principal também tenha raízes secundárias? Como posso evitar que isso aconteça novamente? Existem logs que eu possa procurar para determinar exatamente como a principal foi acessada (eu sou o único usuário no sistema e tenho uma senha muito strong)? É possível que isso seja apenas um bug estranho que ocorreu? Devo, e onde devo começar a procurar por rootkits e / ou keyloggers?

Em suma, o que devo fazer?

    
por fouric 28.10.2013 / 06:02

3 respostas

1

Quanto ao possível corte no disco rígido:

  1. Atualize seu BIOS
  2. Compre um pen drive USB novo e mínimo. Arranque a partir disso.
  3. Use a criptografia de disco completo para / .
  4. A rotina usual "alterar todos os logins".

Isso deve cobrir qualquer possível cenário de exploração de disco rígido.

O que realmente me preocupa, porém, são os recursos de Anti-roubo e Gerenciamento adicionados a várias placas-mães recentes. Alguns fornecedores de hardware têm a opção de permitir que o usuário desabilite permanentemente esses recursos, enquanto outros ... não.

Eu recomendo que você verifique se sua placa-mãe tem esses recursos de gerenciamento remoto e (se possível) se eles foram ativados. Imagine se o atacante remoto tivesse acesso ao recurso de gerenciamento remoto baseado em hardware ...

    
por Eero Aaltonen 05.11.2013 / 11:06
0

Pegue todos os seus dados e faça uma reinstalação limpa.

Altere todas as suas senhas, incluindo suas senhas de Wi-Fi.

Dessa forma, você sabe que definitivamente estará em segurança.

    
por Novine 29.10.2013 / 16:31
0

Que tal tentar um firewall? Há um firewall embutido no Ubuntu chamado ufw - type man ufw para mais informações e configurações. Mas é melhor instalar um aplicativo gráfico que permita configurá-lo. Você pode tentar gufw .

    
por Parto 29.10.2013 / 18:06

Tags

Ubuntu 12.04: dispositivo virtual Andorid: dispositivo virtual Android não inicializando Autokey não está funcionando no Saucy