Мой компьютер мог быть взломан, что мне делать?
Несколько недель назад мой компьютер (назовем его «основным») подключился по беспроводной сети с неавторизованного хоста, возможно, с использованием ssh. Я не обнаружил вторжения несколько дней назад, и моя машина полностью отключилась. Я нашел логин, используя эту строку из last:
myusername pts/1 ipad Tue Oct 15 22:23 - 22:25 (00:02)
Излишне говорить, что не только никто в моей семье не имеет iPad, но почти никто из моих друзей тоже не имеет. Это заставляет меня подозревать, что тот, кто стоял за этим, изменил имя хоста своей машины.
Кроме того, я обнаружил эту строку в выводе last на другой моей машине («вторичной»):
myusername pts/2 :0 Tue Oct 15 22:23 - 22:23 (00:00)
Эта строка совпадает с меткой времени из main, которая имеет ssh без пароля доступ (через ключи) к вторичному. Возможно ли, что тот, кто ворвался в основную группу, также получил второстепенное значение? Как я могу предотвратить это снова? Существуют ли журналы, которые я могу просмотреть, чтобы точно определить, как был осуществлен доступ к main (я единственный пользователь в системе и у меня очень надежный пароль)? Возможно ли, что это просто странная ошибка? Должен ли я и с чего начать поиск руткитов и / или клавиатурных шпионов?
Короче, что мне делать?
3 ответа
Что касается возможного взлома жесткого диска:
- Перепрограммируйте свой BIOS
- Купите новый, минимальный USB-накопитель. Загрузиться с этого.
- Используйте полное шифрование диска для
/. - Обычная процедура «изменить все логины».
Это должно охватывать любой возможный сценарий использования жесткого диска.
Что меня действительно беспокоит, так это функции защиты от кражи и управления, добавленные в несколько последних материнских плат. У некоторых поставщиков оборудования есть возможность разрешить пользователю навсегда отключить эти функции, а некоторые ... нет.
Я рекомендую вам проверить, есть ли на вашей материнской плате эти функции удаленного управления и (если возможно), если они были активированы. Представьте, что удаленный злоумышленник получил возможность использовать аппаратное удаленное управление ...
Извлеките все ваши данные и выполните чистую переустановку.
Измените все свои пароли, включая пароли WiFi.
Таким образом, вы знаете, что вы точно будете в безопасности.
Как насчет использования брандмауэра? В Ubuntu есть встроенный брандмауэр, который называется ufw-type man ufw для получения дополнительной информации и конфигурации. Но лучше установить графическое приложение, которое позволяет его настроить. Вы можете попробовать gufw .