Я недавно позволяю хакеру (кого я встретил однажды, и не знайте слишком хорошо), соединяются с моим компьютером через (я предполагаю, что это был удаленный доступ) - я должен был заполнить свой IP на стороннем веб-сайте и нажать кнопку, и он имел полный доступ к моему рабочему столу и использовал мой терминал команды в Ubuntu 11.04, чтобы сделать серию установок (что я нуждался в помощи с), и затем разъединился.
Вскоре после я начал испытывать случайные вещи - игры пасьянса, случайным образом открываемые, когда я возвращаюсь после отъезда его необслуживаемый и некоторые другие нечетные вещи.
Обледенение на пироге было этим:
Когда я ввел, 'кто' управляет в терминале, вот то, что я получил:
* 'myusername' 0:14 tty7 2007-04-26 (:0)
* 'myusername' pts/0 11.11.2011 21:45 (:0)
Таким образом, мое беспокойство - то, что я даже не владел этим ноутбуком в ту дату, все же один имеют Ubuntu, двойную загруженный в моей системе.
Думайте, что я взламываюсь? или это - просто дата источника Аккуратной настольной среды?
Кто знает. Я мог бы быть параноиком.
Если вы думаете, что вас взломали, есть несколько быстрых способов остановить удаленный доступ:
Запустите vino-preferences
и посмотрите, активирован ли он. Если это так, снимите все флажки и, если нужно, измените пароль.
Измените свой пароль пользователя. Это затруднит доступ через ssh к этому пользователю.
Убедитесь, что другой учетной записи пользователя нет. Из терминала вы можете сделать что-то вроде этого: cat /etc/passwd|grep '/bin/bash'
, но есть другие GUI и терминальные способы.
Отключите SSH-сервер, если он у вас установлен. Тип sudo apt-get purge openssh-server
. Если у вас ничего не случится. Если он у вас есть, он попросит вас удалить.
До сих пор вы только что заблокировали удаленный доступ к службам VNC и SSH.
Теперь проверьте, запущен ли какой-либо скрипт при запуске ПК. Например, что-то, что отправляется кому-то снаружи. Это подразумевает необходимость проверять много мест. Например:
crontab -e
покажет, что cron запускает для вашего пользователя. ufw
включен и не имеет порта для переадресации. Также проверьте iptables для этого. Если порт переадресован, может показаться, что он пытается получить прямой доступ к ПК. Есть много других способов, но это быстрый и основной.
192.168.1.1 - это IP-адрес вашего маршрутизатора, это не сторонний веб-сайт. То, что вы сделали, это открыли доступ к вашей машине через SSH или VNC, перенаправив этот порт наружу. Если вы повторите шаги, но вместо того, чтобы вводить значения, удалите значения, к которым у вас должен быть серьезный доступ. Странно, что будет отображаться пользователь, вошедший в систему с 2007 года, после удаления переадресации порта перезагрузите компьютер, чтобы отключить все подключенные сеансы.