web-dev-qa-db-fra.com

Est-ce que je suis piraté?

J'ai récemment laissé un pirate informatique (que j'ai rencontré une fois et que je ne connais pas très bien) se connecter à mon ordinateur via (je suppose que c'était un accès à distance) - je devais remplir mon IP sur un site Web tiers et cliquer avait un accès complet à mon bureau et utilisait mon terminal de commande sous Ubuntu 11.04 pour effectuer une série d’installations (pour lesquelles j’avais besoin d’aide), puis déconnectées.

Peu de temps après, j'ai commencé à faire l'expérience de choses aléatoires - des jeux de solitaire s'ouvraient de manière aléatoire lorsque je revenais après l'avoir laissé sans surveillance et quelques autres choses étranges.

La cerise sur le gâteau était la suivante:

Lorsque j'ai tapé la commande "qui" dans le terminal, voici ce que j'ai obtenu:

* 'myusername' tty7 2007-04-26 00:14 (: 0)

* 'myusername' pts/0 2011-11-11 21:45 (: 0)

Ce qui me préoccupe, c'est que je ne possédais même pas cet ordinateur portable à cette date, mais que seul Ubuntu soit démarré deux fois sur mon système.

Pensez-vous que je suis piraté? ou s'agit-il simplement de la date de l'environnement de bureau Origin of Natty?

Qui sait. Je pourrais être paranoïaque.

securityremote-accesstty
4
Erik Lipkin

Si vous pensez être piraté, vous pouvez procéder rapidement de différentes manières pour arrêter l'accès à distance:

  1. Exécutez vino-preferences et voyez s'il est activé. Si c'est le cas, décochez toutes les options et si vous en avez besoin, changez le mot de passe.

  2. Changez votre mot de passe utilisateur. Cela rendrait difficile l'accès via ssh avec cet utilisateur.

  3. Vérifiez qu'il n'y a pas d'autre compte d'utilisateur. Depuis le terminal, vous pouvez faire quelque chose comme ceci: cat /etc/passwd|grep '/bin/bash' mais il existe d'autres moyens d'interface graphique et de terminal.

  4. Désactivez le serveur SSH si vous l'avez installé. Tapez Sudo apt-get purge openssh-server. Si vous n'avez pas rien ne se passera. Si vous l'avez, il vous demandera de le retirer.

Jusqu'à présent, vous veniez d'empêcher l'accès à distance aux services VNC et SSH.

Maintenant, vérifiez si un script est en cours d’exécution au démarrage du PC. Par exemple, quelque chose est envoyé à quelqu'un de l'extérieur. Cela implique de devoir vérifier de nombreux endroits. Par exemple:

  • Vérifiez tous les dossiers/etc/rc *. Par exemple /etc/rc0.d, /etc/rc1.d ....
  • Vérifiez /etc/init.d auprès d’un service étrange qui n’est pas supposé être là.
  • Vérifiez que cron ne fonctionne pas. Exemple: crontab -e montrera ce que cron exécute pour votre utilisateur.
  • Vérifiez que ufw est activé et n’a pas de transfert de port. Vérifiez également iptables pour cela. Si un port est en avant, il pourrait avoir l’impression de vouloir accéder directement au PC.
  • Tout autre endroit pouvant être utilisé pour exécuter automatiquement quelque chose.

Il y a beaucoup d'autres moyens mais ce sont des solutions simples et rapides.

9
Luis Alvarado

192.168.1.1 est l'adresse IP de votre routeur, ce n'est pas un site Web tiers. Ce que vous avez fait, c’est d’ouvrir un accès SSH ou VNC à votre machine en redirigeant ce port. Si vous répétez les étapes, mais au lieu de saisir les valeurs, supprimez-les, vous devriez pouvoir accéder à des données strictes. Il est étrange de voir un utilisateur connecté à partir de 2007, après avoir retiré le port, redémarrez votre ordinateur pour déconnecter les sessions connectées.

5
Marco Ceppi