web-dev-qa-db-fra.com

Le mot de passe Linux a changé. Est-ce une attaque ou un problème de matériel?

My Linux (Ubuntu 12.04) Mot de passe a soudainement changé la nuit dernière et je ne suis pas sûr s'il s'agit d'une attaque ou d'une erreur matérielle/utilisateur. Ceci est sur une boîte personnelle/non serveur. Plusieurs événements étranges ont conduit à celui-ci, énuméré ci-dessous:

  • Lors de la navigation sur les pages Web, je ne peux pas sembler faire défiler vers le bas. Ma main droite était sur ma souris, laissé manger de la nourriture, donc je suis sûr que je ne suis pas accidentellement en appuyant sur des clés. J'ai couru showkey et a découvert que de temps en temps, je serais spammé par keycode 104 événements. 104 semble être pg up.
  • Ensuite, cela est arrivé que je ne peux pas sembler avoir mon mot de passe à droite lorsque vous invoquez des commandes sudo. Cependant, je peux obtenir sudo d'authentifier si je copier-coller mon mot de passe.
  • Je me suis méfié à ce stade et j'ai vérifié s'il y a des log-ins non désirés dans ma boîte. who la commande revient comme prévu (c'est-à-dire que seuls moi et mes terminaux ouverts) et SSHD ne fonctionne pas et je ne peux pas accéder au port 22 (via Telnet).
  • Finalement, j'ai enfermé mon écran et, quand je suis retourné, j'ai été invité à un mot de passe et je ne peux plus l'entrer correctement.
  • Ma machine est Dual-Boot avec Windows 8. J'essaie de me connecter à Windows 8 et, lorsque j'entre mon mot de passe, je semble remarquer que, lorsque j'entre mon mot de passe (19 caractères long, identiques à Ubuntu), le curseur passe soudainement au premier caractère. Ainsi, par exemple, si mon mot de passe est "mot de passe", entrez-le directement, il devient "DPPRPASSWOR". Cela m'a eu quelques fois jusqu'à ce que j'ai observé le comportement. Il aide que Windows 8 vous permet de voir le mot de passe que vous tapez. Vous pouvez toujours le modifier et vous connecter à Windows.

Ce n'est pas la première fois que mon clavier a trempé comme ça. L'année dernière, c'était les boutons de direction qui maîtrisaient des signaux de spam. Ce qui me dérange particulièrement, c'est que je me suis enfermé de ma machine et que cela semblait Pour changer mon mot de passe et introduire tout ce comportement étrange.

Je l'ai laissé la nuit et je me suis réveillé aujourd'hui pour résoudre le problème. Windows n'exprime plus le comportement étrange de la dernière balle. J'ai été en mesure de réinitialiser mon mot de passe Linux (à quelque chose de plus court pendant l'intervalle). who et telnet/ssh est le même que jamais et je ne semble plus respecter les signaux indésirables de KeyPress 104. Y a-t-il d'autres étapes que vous me conseillez de prendre?

13
skytreader

Vous avez raison de poser la question. La situation que vous le décrivez, il permet aux deux alternatives une attaque et une défaillance matérielle (c'est-à-dire une défaillance du clavier).

si vous aviez des copies de/etc/shadow avant la présence et après avoir pu voir si le hachage salé était différent, ce qui aurait été une bonne indication que le mot de passe était effectivement changé et qu'il n'ya pas simplement eu de problème avec la participation de Le mot de passe dû aux touches envoyées par le clavier qui modifiait la position du curseur lors de la saisie du mot de passe. Depuis que vous auriez peut-être été l'une des personnes qui prend une sauvegarde de temps en temps, vous pourriez avoir la copie avant la présence et vous avez peut-être effectué une copie du /etc/shadow Fichier après avoir rechangé votre mot de passe. Ensuite, vérifiez simplement les incohérences là-bas.

Ce qui parle en faveur de l'explication d'une défaillance matérielle, c'est que vous avez rencontré des problèmes à la connexion WIN8 qui semblait plutôt être un dysfonctionnement du clavier que le résultat d'un hack. Ou au moins, il semble étrange que le mot de passe de Windows n'ait pas été modifié par l'attaque, comme il était possible et que l'attaquant n'a pas essayé de dissimuler quoi que ce soit de Linux et même de créer des soupçons dans la connexion Win8. Il semble étrange de causer des soupçons inutilement.

Pour mieux donner un jugement sur s'il existe de meilleurs changements pour assumer un hachoir sur une défaillance matérielle, il aurait été bien de savoir quels site (s) site (s) que vous aviez visité. Certaines régions du Web risquent sûrement d'attaquer votre système via d'abord attaquer les navigateurs.

Comme vous l'avez indiqué que vous avez utilisé X11 et non Wayland (que vous le sauriez - comme il faut faire l'effort de configurer) le vectore de X11 du navigateur au terminal/sudo existe.

Je suis désolé que la réponse ne donne pas de réponse fixe, mais essaie uniquement de vous aider à deviner. Peut-être avez-vous de la chance et peut essayer d'avoir une idée via le /etc/shadow qui en cas de changement de mot de passe modifié a une forte probabilité de les refléter. Puisque vous ne modifiez pas le mot de passe un changement perçu de /etc/shadow ira loin dans l'allusion à ce qu'il y avait un hack

14
humanityANDpeace

Lors de la navigation sur les pages Web, je ne peux pas sembler faire défiler vers le bas. Ma main droite était sur ma souris, gauche -manger de la nourriture Donc, je suis sûr que je ne suis pas accidentellement en appuyant sur des clés. J'ai rencontré Showkey et j'ai découvert que de temps en temps, je serais spammé par des événements de code KeyCode 104. 104 semble être pg up.

J'essaie de me connecter à Windows 8 et, lorsque j'entre mon mot de passe, je semble remarquer que, lorsque j'entre mon mot de passe (19 caractères de long, identique à Ubuntu), le curseur passe soudainement au premier caractère. Ainsi, par exemple, si mon mot de passe est "mot de passe", entrez-le directement, il devient "DPPRPASSWOR".

D'autres questions? :) Il y a l'une ou l'autre des aliments bloqués sous la clé PGUP ou c'est un problème électronique comme une fissure de ligne de cheveux sur la carte mère.

Comment cela pourrait affecter votre fichier de mots de passe est mystérieux, mais peut-être que cela ne l'a-t-il pas fait et il a sauté aussi? Plus probable, la touche PGUP a été interprétée comme faisant partie du mot de passe.

26
user55886