Я взламываю?

Question 1

Я недавно позволяю хакеру (кого я встретил однажды, и не знайте слишком хорошо), соединяются с моим компьютером через (я предполагаю, что это был удаленный доступ) - я должен был заполнить свой IP на стороннем веб-сайте и нажать кнопку, и он имел полный доступ к моему рабочему столу и использовал мой терминал команды в Ubuntu 11.04, чтобы сделать серию установок (что я нуждался в помощи с), и затем разъединился.

Вскоре после я начал испытывать случайные вещи - игры пасьянса, случайным образом открываемые, когда я возвращаюсь после отъезда его необслуживаемый и некоторые другие нечетные вещи.

Обледенение на пироге было этим:

Когда я ввел, 'кто' управляет в терминале, вот то, что я получил:

* 'myusername' 0:14 tty7 2007-04-26 (:0)

* 'myusername' pts/0 11.11.2011 21:45 (:0)

Таким образом, мое беспокойство - то, что я даже не владел этим ноутбуком в ту дату, все же один имеют Ubuntu, двойную загруженный в моей системе.

Думайте, что я взламываюсь? или это - просто дата источника Аккуратной настольной среды?

Кто знает. Я мог бы быть параноиком.

Question 2

Если вы думаете, что вас взломали, есть несколько быстрых способов остановить удаленный доступ:

Запустите vino-preferences и посмотрите, активирован ли он. Если это так, снимите все флажки и, если нужно, измените пароль.
Измените свой пароль пользователя. Это затруднит доступ через ssh к этому пользователю.
Убедитесь, что другой учетной записи пользователя нет. Из терминала вы можете сделать что-то вроде этого: cat /etc/passwd|grep '/bin/bash', но есть другие GUI и терминальные способы.
Отключите SSH-сервер, если он у вас установлен. Тип sudo apt-get purge openssh-server. Если у вас ничего не случится. Если он у вас есть, он попросит вас удалить.

До сих пор вы только что заблокировали удаленный доступ к службам VNC и SSH.

Теперь проверьте, запущен ли какой-либо скрипт при запуске ПК. Например, что-то, что отправляется кому-то снаружи. Это подразумевает необходимость проверять много мест. Например:

Проверьте все папки / etc / rc *. Например, /etc/rc0.d, /etc/rc1.d....
Проверьте /etc/init.d из странного сервиса, которого там не должно быть.
Убедитесь, что cron не работает. Пример: crontab -e покажет, что cron запускает для вашего пользователя.
Убедитесь, что ufw включен и не имеет порта для переадресации. Также проверьте iptables для этого. Если порт переадресован, может показаться, что он пытается получить прямой доступ к ПК.
Любое другое место, которое может быть использовано для автоматического запуска чего-либо.

Есть много других способов, но это быстрый и основной.

Question 3

Question 4

192.168.1.1 - это IP-адрес вашего маршрутизатора, это не сторонний веб-сайт. То, что вы сделали, это открыли доступ к вашей машине через SSH или VNC, перенаправив этот порт наружу. Если вы повторите шаги, но вместо того, чтобы вводить значения, удалите значения, к которым у вас должен быть серьезный доступ. Странно, что будет отображаться пользователь, вошедший в систему с 2007 года, после удаления переадресации порта перезагрузите компьютер, чтобы отключить все подключенные сеансы.

Luis Alvarado · Answer 1 · 1 March 2012 в 04:37

Если вы думаете, что вас взломали, есть несколько быстрых способов остановить удаленный доступ:

Запустите vino-preferences и посмотрите, активирован ли он. Если это так, снимите все флажки и, если нужно, измените пароль.
Измените свой пароль пользователя. Это затруднит доступ через ssh к этому пользователю.
Убедитесь, что другой учетной записи пользователя нет. Из терминала вы можете сделать что-то вроде этого: cat /etc/passwd|grep '/bin/bash', но есть другие GUI и терминальные способы.
Отключите SSH-сервер, если он у вас установлен. Тип sudo apt-get purge openssh-server. Если у вас ничего не случится. Если он у вас есть, он попросит вас удалить.

До сих пор вы только что заблокировали удаленный доступ к службам VNC и SSH.

Теперь проверьте, запущен ли какой-либо скрипт при запуске ПК. Например, что-то, что отправляется кому-то снаружи. Это подразумевает необходимость проверять много мест. Например:

Проверьте все папки / etc / rc *. Например, /etc/rc0.d, /etc/rc1.d....
Проверьте /etc/init.d из странного сервиса, которого там не должно быть.
Убедитесь, что cron не работает. Пример: crontab -e покажет, что cron запускает для вашего пользователя.
Убедитесь, что ufw включен и не имеет порта для переадресации. Также проверьте iptables для этого. Если порт переадресован, может показаться, что он пытается получить прямой доступ к ПК.
Любое другое место, которое может быть использовано для автоматического запуска чего-либо.

Есть много других способов, но это быстрый и основной.

Marco Ceppi · Answer 2 · 1 March 2012 в 04:37

192.168.1.1 - это IP-адрес вашего маршрутизатора, это не сторонний веб-сайт. То, что вы сделали, это открыли доступ к вашей машине через SSH или VNC, перенаправив этот порт наружу. Если вы повторите шаги, но вместо того, чтобы вводить значения, удалите значения, к которым у вас должен быть серьезный доступ. Странно, что будет отображаться пользователь, вошедший в систему с 2007 года, после удаления переадресации порта перезагрузите компьютер, чтобы отключить все подключенные сеансы.

Я взламываю?

2 ответа

Другие вопросы по тегам:

Похожие вопросы: