나는 최근에 (한 번 만났고 잘 모르는) 해커가 (원격 액세스였던 것 같아요)를 통해 내 컴퓨터에 연결하도록 허용했습니다. 제3자 웹사이트에 내 IP를 입력하고 버튼을 클릭해야 했고 그는 내 데스크탑에 대한 전체 액세스 권한이 있었고 Ubuntu 11.04의 명령 터미널을 사용하여 일련의 설치(도움이 필요함)를 수행한 다음 연결을 끊었습니다.
얼마 지나지 않아 솔리테어 게임을 방치하고 돌아오면 무작위로 솔리테어 게임이 열리는 등 이상한 일들을 경험하기 시작했습니다.
케이크의 아이싱은 이랬습니다.
터미널에 'who' 명령을 입력했을 때 얻은 결과는 다음과 같습니다.
*'myusername' tty7 2007-04-26 00:14(:0)
*'myusername' pts/0 2011-11-11 21:45 (:0)
그래서 제가 걱정하는 점은 제가 그 당시에 이 노트북을 소유하지도 않았는데도 제 시스템에 Ubuntu 듀얼 부팅이 있다는 것입니다.
내가 해킹당하고 있는 것 같나요? 아니면 Natty 데스크탑 환경이 시작된 날짜일까요?
누가 알아. 나는 편집증적일 수도 있습니다.
답변1
해킹당했다고 생각되면 원격 액세스를 중지하기 위해 할 수 있는 몇 가지 빠른 조치가 있습니다.
실행하여
vino-preferences활성화되었는지 확인하세요. 그렇다면 모든 옵션을 선택 취소하고 필요한 경우 비밀번호를 변경하십시오.사용자 비밀번호를 변경하세요. 그러면 해당 사용자와 SSH를 통해 액세스하기가 어려워집니다.
다른 사용자 계정이 없는지 확인하십시오. 터미널에서 다음과 같은 작업을 수행할 수 있지만
cat /etc/passwd|grep '/bin/bash'다른 GUI 및 터미널 방법도 있습니다.SSH 서버를 설치한 경우 비활성화하십시오. 유형
sudo apt-get purge openssh-server. 없으면 아무 일도 일어나지 않습니다. 만약 가지고 있다면 삭제를 요청하게 됩니다.
지금까지는 VNC 및 SSH 서비스가 원격으로 액세스되는 것을 차단했습니다.
이제 PC가 시작될 때 일부 스크립트가 실행되고 있는지 확인하십시오. 예를 들어 외부의 누군가에게 보내는 내용입니다. 이는 많은 장소를 확인해야 함을 의미합니다. 예를 들어:
- 모든 /etc/rc* 폴더를 확인하십시오. 예를 들어 /etc/rc0.d, /etc/rc1.d....
- 존재해서는 안 되는 이상한 서비스에서 /etc/init.d를 확인하십시오.
- cron이 무언가를 실행하고 있지 않은지 확인하십시오. 예:
crontab -e사용자를 위해 cron이 실행되는 내용을 보여줍니다. ufw활성화되어 있고 일부 포트 전달이 없는지 확인하십시오 . 이에 대해서는 iptables도 확인하세요. 포트가 전달 방향이면 PC에 직접 액세스하려는 것처럼 보일 수 있습니다.- 무언가를 자동으로 실행하는 데 사용될 수 있는 다른 장소.
다른 방법도 많이 있지만 이것이 빠르고 기본적인 방법입니다.
답변2
192.168.1.1은 라우터의 IP 주소이며 제3자 웹사이트가 아닙니다. 당신이 한 일은 SSH 또는 VNC 중 하나를 열고 해당 포트를 전달하여 컴퓨터에 액세스하는 것입니다. 단계를 반복하지만 값을 입력하는 대신 심각한 액세스가 가능하도록 값을 제거하면 됩니다. 포트 전달을 제거한 후 컴퓨터를 다시 시작하여 연결된 모든 세션을 로그오프한 후 2007년에 로그인한 사용자가 표시되는 것이 이상합니다.