Ich habe vor kurzem einem Hacker (den ich einmal getroffen habe und nicht so gut kenne) erlaubt, sich per Fernzugriff mit meinem Computer zu verbinden. Ich musste meine IP-Adresse auf einer Website eines Drittanbieters eingeben und auf eine Schaltfläche klicken, und er hatte vollständigen Zugriff auf meinen Desktop und nutzte mein Befehlsterminal in Ubuntu 11.04, um eine Reihe von Installationen durchzuführen (bei denen ich Hilfe brauchte) und trennte dann die Verbindung.
Kurz darauf begannen zufällige Dinge zu passieren – Solitärspiele öffneten sich zufällig, wenn ich zurückkam, nachdem ich das Gerät unbeaufsichtigt gelassen hatte, und andere merkwürdige Dinge.
Das Tüpfelchen auf dem i war dies:
Als ich den Befehl „who“ in das Terminal eingab, erhielt ich Folgendes:
*'meinBenutzername' tty7 26.04.2007 00:14 Uhr(:0)
*'meinBenutzername' pts/0 2011-11-11 21:45 (:0)
Was mir also Sorgen macht, ist, dass ich zu diesem Zeitpunkt noch nicht einmal diesen Laptop besaß und schon gar nicht über einen Dual-Boot-Modus für Ubuntu auf meinem System verfügte.
Glauben Sie, ich werde gehackt? Oder ist das einfach das Entstehungsdatum der Natty-Desktopumgebung?
Wer weiß. Vielleicht bin ich paranoid.
Antwort1
Wenn Sie glauben, dass Sie gehackt werden, können Sie den Fernzugriff auf verschiedene Weise schnell unterbinden:
Führen Sie es aus
vino-preferencesund prüfen Sie, ob es aktiviert ist. Wenn ja, deaktivieren Sie alle Optionen und ändern Sie das Kennwort, wenn Sie es benötigen.Ändern Sie Ihr Benutzerkennwort. Das würde den Zugriff per SSH mit diesem Benutzer erschweren.
Stellen Sie sicher, dass kein anderes Benutzerkonto vorhanden ist. Vom Terminal aus können Sie Folgendes tun:
cat /etc/passwd|grep '/bin/bash'Es gibt jedoch auch andere GUI- und Terminal-Möglichkeiten.Deaktivieren Sie den SSH-Server, falls Sie ihn installiert haben. Geben Sie ein
sudo apt-get purge openssh-server. Falls nicht, passiert nichts. Falls Sie ihn installiert haben, werden Sie aufgefordert, ihn zu entfernen.
Bisher haben Sie lediglich den Fernzugriff auf die VNC- und SSH-Dienste blockiert.
Überprüfen Sie nun, ob beim Starten des PCs ein Skript ausgeführt wird. Beispielsweise etwas, das an jemanden außerhalb gesendet wird. Dies bedeutet, dass viele Stellen überprüft werden müssen. Zum Beispiel:
- Überprüfen Sie alle /etc/rc*-Ordner. Zum Beispiel /etc/rc0.d, /etc/rc1.d...
- Überprüfen Sie /etc/init.d von einem seltsamen Dienst aus, der dort nicht vorhanden sein sollte.
- Überprüfen Sie, dass Cron nichts ausführt. Beispiel:
crontab -ezeigt an, was Cron für Ihren Benutzer ausführt. - Überprüfen Sie, ob es
ufwaktiviert ist und keine Portweiterleitung vorhanden ist. Überprüfen Sie hierzu auch iptables. Wenn ein Port weitergeleitet ist, kann es so aussehen, als würde er versuchen, direkt auf den PC zuzugreifen. - Jeder andere Ort, der zum automatischen Ausführen von etwas verwendet werden könnte.
Es gibt noch viele andere Möglichkeiten, aber diese sind die schnellen und grundlegenden.
Antwort2
192.168.1.1 ist die IP-Adresse Ihres Routers, es handelt sich nicht um eine Website eines Drittanbieters. Sie haben entweder SSH oder VNC-Zugriff auf Ihren Computer geöffnet, indem Sie diesen Port weitergeleitet haben. Wenn Sie die Schritte wiederholen, aber die Werte entfernen, anstatt sie einzugeben, sollten Sie den Zugriff einschränken können. Es ist seltsam, dass ein seit 2007 angemeldeter Benutzer angezeigt wird. Starten Sie Ihren Computer nach dem Entfernen der Portweiterleitung neu, um alle verbundenen Sitzungen abzumelden.