Персональный компьютер взломан. Как заблокировать пользователя от входа в систему снова? Как узнать, как они входят в систему?

Согласно сравнению со сравнением Википедии чипов AMD, у вас есть чип rv620. Этот чип не поддерживается драйвером opensource. См. Здесь для получения дополнительной информации

Итак, в настоящее время вы используете VESA. Это медленно. Поэтому для поддержки 2D я бы рекомендовал установить закрытый драйвер fglrx. Это также даст вам поддержку 3D. Compiz будет работать нормально, но могут быть небольшие проблемы с некоторыми играми на Wine. Это всегда поражает или пропускает любую комбинацию драйвера, карты, винной версии и игры.

1
задан 4 May 2016 в 13:03

5 ответов

Протрите жесткий диск и переустановите свою операционную систему с нуля.

В любом случае несанкционированного доступа существует вероятность того, что злоумышленник получит привилегии root, поэтому разумно предположить, что это произошло , В этом случае auth.log, похоже, подтверждает, что это действительно так, если только вы не были таким пользователем:

Apr 27 06:55:55 Rho su [23881]: Успешный su для guest-g20zoo от root

В частности, с привилегиями root, возможно, они запутались в системе способами, которые практически невозможно исправить без переустановки, например, путем изменения сценариев загрузки или установки новых скриптов и приложений, которые запускаются при загрузке , и так далее. Они могут делать такие вещи, как запуск несанкционированного сетевого программного обеспечения (т. Е. Создание части бот-сети) или выход из системы в фоновом режиме. Попытка обнаружить и восстановить такие вещи без переустановки в лучшем случае беспорядочна и не гарантирует избавления от всего.

33
ответ дан 23 May 2018 в 11:38
  • 1
    Даже если это не будет работать, если они установили некоторые вредоносные программы в аппаратное обеспечение, например, если они запустили прошивку жесткого диска. – John Dvorak 29 April 2016 в 08:57
  • 2
    Эта строка журнала, которую вы цитируете, означает, что пользователь root переключился на guest-g20zoo, а не наоборот. – Dmitry Grigoryev 29 April 2016 в 10:36
  • 3
    @JanDvorak Есть ли у вас пример прошивки жесткого диска, который работает как backdoor Linux? – Dmitry Grigoryev 29 April 2016 в 10:39
  • 4
    Я должен был бы согласиться, если вы вообще не уверены в надежности своих os, и боитесь, что вы можете что-то пропустить, просто создайте резервную копию данных и переустановите os, лично я бы переключил hdds, но только так, чтобы я мог получить информацию от старой ОС и узнать, кто меня взломал :) – GMasucci 29 April 2016 в 11:21
  • 5
    @DmitryGrigoryev, но если они могут su на другую учетную запись от root, это означает, что они являются root. – Léo Lam 29 April 2016 в 13:09

Я просто хочу упомянуть, что «множественные вкладки браузера / окна открываются, Software Center open, файлы, загруженные на рабочий стол», не очень согласуются с тем, кто входит в вашу машину через SSH. Регистрация злоумышленника через SSH получит текстовую консоль, которая полностью отделена от того, что вы видите на рабочем столе. Им также не понадобится google «как установить git» со своего рабочего стола, потому что они будут сидеть перед своим собственным компьютером, не так ли? Даже если они захотят установить Git (почему?), Им не нужно будет загружать установщик, потому что Git находится в репозиториях Ubuntu, кто знает что-нибудь о Git или Ubuntu, это знает. И почему у них есть вопрос, как настроить подсказку bash?

Я также подозреваю, что «В моем браузере открылась вкладка ... Она открылась несколько раз после того, как я ее закрыл», на самом деле было открыто несколько одинаковых вкладок, поэтому вам приходилось закрывать их один за другим. [ ! d1]

То, что я пытаюсь сказать здесь, состоит в том, что образ действия похож на «обезьяну с пишущей машиной».

Вы также не упомянули, что у вас даже установлен SSH-сервер - это не установлен по умолчанию.

Итак, если вы абсолютно уверены, что у вас нет физического доступа к вашему ноутбуку без вашего ведома, а ваш ноутбук имеет сенсорный экран, и он не приостанавливается должным образом, и он провел некоторое время в вашем рюкзаке, тогда я думаю, что все это может быть просто случай «карманного вызова» - случайные касания экрана в сочетании с поисковыми предложениями и автоматической коррекцией открыли несколько окон и выполнили поиск в Google, нажав на случайные ссылки и загрузив случайные файлы. [!d4 ]

Как персональный анекдот - время от времени это происходит с моим смартфоном в кармане, включая открытие нескольких приложений, изменение системные настройки, отправка полукогерентных SMS-сообщений и просмотр случайных видеороликов YouTube.

2
ответ дан 23 May 2018 в 11:38
  • 1
    ... или в моем случае ... удаление всех текстов от одного друга ... – andy256 4 May 2016 в 02:25

Есть ли у вас друзья, которые хотели бы получить доступ к вашему ноутбуку удаленно / физически, пока вас нет? Если нет:

Протрите жесткий диск с помощью DBAN и переустановите ОС с нуля. Обязательно выполните резервное копирование.

В самом Ubuntu что-то могло быть серьезно скомпрометировано. При переустановке:

Протирайте жесткий диск с помощью DBAN и переустановите ОС с нуля. Обязательно выполните резервное копирование. Если сам жесткий диск / ноутбук физически украден, они не могут получить доступ к данным в /home.

Шифровать жесткий диск. Это предотвращает компрометацию /boot людей без входа в систему. Вам также потребуется ввести пароль для загрузки (я думаю).

Шифровать жесткий диск. Если кто-то выясняет пароль жесткого диска, они не могут получить доступ к /home или логину.

Шифруйте свой WiFi. Кто-то, возможно, попал в близость маршрутизатора и воспользовался незашифрованными Wifi и ssh'd в вашем ноутбуке.

Шифруйте свой WiFi. Злоумышленник может иметь ssh'd в ваш ноутбук , получили удаленное соединение, вошли в систему через Гость и добавили учетную запись гостя в корневой каталог. Это опасная ситуация. Если это произошло, злоумышленник может запустить эту ОЧЕНЬ ОПАСНУЮ команду:

rm -rf --no-preserve-root / 

Это стирает ОЧЕНЬ ОПАСНОЕ данных на HDD, trashes /home и еще хуже, выходит Ubuntu полностью не может даже загрузиться. Вы просто получите брошенное спасение, и вы не сможете оправиться от этого. Злоумышленник также может полностью уничтожить каталог /home и т. Д. Если у вас есть домашняя сеть, злоумышленник может также удалить все остальные компьютеры в этой сети (если они запускают Linux).

Надеюсь, это поможет. :

)
1
ответ дан 23 May 2018 в 11:38
  • 1
    Почему DBAN? Повторное создание таблицы разделов должно быть вполне достаточным, не говоря уже о том, что DBAN серьезно повредит SSD, если у него есть один. – gronostaj 29 April 2016 в 22:50
  • 2
    почему хакер должен работать rm -rf /? он собирается захватить все ваши данные. уничтожение данных не имеет никакого смысла. – LittleByBlue 1 May 2016 в 01:30
  • 3
    Кстати. НИКОГДА не запускает rm -rf /, он может полностью блокировать ваш компьютер, поскольку старые версии Linux (старше 4.5) не защищают UEFI, и вы можете повредить его, если вы удаляете несколько файлов из /sys/firmware/efi/efivars/ , – LittleByBlue 1 May 2016 в 11:55

«подозрительная» активность объясняется следующим: мой ноутбук больше не приостанавливается при закрытии крышки, ноутбук является сенсорным экраном и реагирует на приложенное давление (возможно, мои кошки). Предоставленные строки из /var/log/auth.log и вывод команды who согласуются с регистрацией гостевого сеанса. Пока я отключил вход в гостевую сессию с приветствия, он все еще доступен из выпадающего меню в правом верхнем углу в Unity DE. Ergo, гостевая сессия может быть открыта, когда я вошел в систему.

Я протестировал теорию «прикладного давления»; окна могут открываться и закрываться, пока крышка закрыта. Я также вошел в новую гостевую сессию. Строки журнала, идентичные тому, что я воспринимал как подозрительную активность, присутствовали в /var/log/auth.log после того, как я это сделал. Я переключил пользователей, вернулся в свою учетную запись и запустил команду who - на выходе указано, что в систему был зарегистрирован гость.

Стрелка WiFi вверх-вниз вернулась к стандартному логотипу WiFi , и все доступные соединения видны. Это была проблема с нашей сетью, и она не связана.

0
ответ дан 23 May 2018 в 11:38

Вытащите беспроводную карту / ручку и просмотрите трассировку. Сделайте запись своих журналов, так что askbuntu может помочь дальше. После этого вытрите свои диски и попробуйте другой дистрибутив, попробуйте жить cd, чтобы он не работал, чтобы увидеть, есть ли шаблон для атак.

-2
ответ дан 23 May 2018 в 11:38
  • 1
    Почему он хочет посмотреть на карты карт Wi-Fi ...? – Keith M 29 April 2016 в 21:28
  • 2
    Если уж на то пошло, зачем он вообще вытащил свою Wi-Fi-карту – Keith M 30 April 2016 в 00:11
  • 3
    @KeithM вы когда-нибудь вытащили Wi-Fi-карту ноутбука? этот ноутбук никогда не будет заражен снова .... ;-) обязательно сделайте резервную копию , прежде чем вытащить карту ... – LittleByBlue 1 May 2016 в 01:28

Другие вопросы по тегам:

Похожие вопросы: