Estou sendo hackeado?

tag-icon tag-icon security remote-access tty
Estou sendo hackeado?

Recentemente, deixei um hacker (que conheci uma vez e não conheço muito bem) se conectar ao meu computador (acho que foi acesso remoto) - tive que preencher meu IP em um site de terceiros e clicar em um botão e ele tive acesso total ao meu desktop e usei meu terminal de comando no Ubuntu 11.04 para fazer uma série de instalações (com as quais precisei de ajuda) e depois desconectei.

Pouco depois, comecei a experimentar coisas aleatórias - jogos de paciência sendo abertos aleatoriamente quando eu volto depois de deixá-los sozinhos e algumas outras coisas estranhas.

A cereja do bolo foi esta:

Quando digitei o comando 'who' no terminal, eis o que obtive:

*'meunomedeusuário' tty7 26/04/2007 00:14(:0)

*'meunomedeusuario' pts/0 11/11/2011 21:45 (:0)

Então, minha preocupação é que eu nem tinha esse laptop naquela data, mas apenas tenho o Ubuntu dual boot no meu sistema.

Acha que estou sendo hackeado? ou é apenas a data de origem do ambiente de desktop Natty?

Quem sabe. Posso estar paranóico.

Responder1

Se você acha que está sendo hackeado, há várias coisas rápidas que você pode fazer para interromper o acesso remoto:

  1. Execute vino-preferencese veja se está ativado. Se estiver, desmarque todas as opções e se precisar altere a senha.

  2. Altere sua senha de usuário. Isso dificultaria o acesso via ssh com esse usuário.

  3. Verifique se não há outra conta de usuário. No terminal você pode fazer algo assim: cat /etc/passwd|grep '/bin/bash'mas existem outras formas de GUI e terminal.

  4. Desative o servidor SSH se você o tiver instalado. Tipo sudo apt-get purge openssh-server. Se você não tiver, nada acontecerá. Se você tiver, ele solicitará a remoção.

Até agora você apenas bloqueou o acesso remoto aos serviços VNC e SSH.

Agora verifique se você tem algum script em execução quando o PC é inicializado. Por exemplo, algo que está sendo enviado para alguém de fora. Isso implica ter que verificar muitos lugares. Por exemplo:

  • Verifique todas as pastas /etc/rc*. Por exemplo /etc/rc0.d, /etc/rc1.d....
  • Verifique /etc/init.d de um serviço estranho que não deveria estar lá.
  • Verifique se o cron não está executando alguma coisa. Exemplo: crontab -emostrará o que o cron executa para o seu usuário.
  • Verifique se ufwestá habilitado e não possui algum encaminhamento de porta. Verifique também o iptables para isso. Se uma porta estiver encaminhada, pode parecer que ele está tentando ter acesso direto ao PC.
  • Qualquer outro local que possa ser usado para executar algo automaticamente.

Existem muitas outras maneiras, mas estas são as rápidas e básicas.

Responder2

192.168.1.1 é o endereço IP do seu roteador, não é um site de terceiros. O que você fez foi abrir o acesso SSH ou VNC à sua máquina, encaminhando essa porta. Se você repetir as etapas, mas em vez de inserir os valores, remova-os, você poderá ter acesso severo. É estranho que isso mostre um usuário logado a partir de 2007, após remover o encaminhamento de porta, reinicie sua máquina para desconectar todas as sessões conectadas.

informação relacionada