我觉得我的电脑被黑了。我该怎么办？

Question

恐怕我被黑了：我的 Ubuntu 正在接收入站流量，而我的 PC 与以太网和 WIFI 断开连接，所以我的问题是，我如何接收入站流量？我什至有一个打开的防火墙。

我正在学习成为一名开发人员，所以显然我不能完全脱离网络。

我应该如何进行？

Answer 1

如果您认为自己遭到了个人黑客攻击，您可以在下面找到一些非常严格的规则，使黑客的生活变得极其困难。

• 保持冷静
• 在 BIOS 中关闭您不需要成为开发人员的所有硬件（这包括：麦克风和扬声器，因为它们过去曾被证明在 PC被黑客入侵后用作通信通道、打印机端口、USB 端口、WiFi ， 等等）
• 将所有不能在 BIOS 中禁用的硬件列入黑名单
• 仅通过电缆连接并尽可能少地进行连接（每天 1 次下载邮件、更新、上传您的作品
• 安装尽可能少的软件
• 不要安装已知会跟踪您的软件（flash、silverlight）
• 使用带有 noscript 的 Firefox 并修改标题插件
• 禁用所有 cookie。只允许每个站点和会话的 cookie。
• 进行系统备份，这样你就可以回滚到以前的版本，让黑客的生活变得一团糟。
• 使用这些备份在 DVD-R 上创建 Live DVD，以防您需要更长的在线曝光时间。
• 您已经在使用防火墙，请继续使用。
• 只能通过 NAT 路由器连接到 Internet，并使用管理员密码保护它，并使用另一个 DND，然后是您的 ISP 提供的 DND。
• 不要让任何人物理访问您的计算机

这应该可以摆脱 99.999% 的黑客。

关于问题的分析：

请执行下列操作：

• 从 Ubuntu LiveCD 启动
• 不要连接到任何网络

• 按Ctrl+ Alt+转到终端T并键入：netstat --all

  您将收到的东西像这样，这将是你的基线。Ubuntu 不仅是客户端操作系统，也是服务器，因此某些应用程序使用 TCP/IP 套接字连接到您自己机器上的服务器部分，这是绝对正常的。套接字是进程相互通信的一个非常良性和必不可少的部分！

然后连接到网络（仍然从 liveCD 启动）并netstat -- all再次执行此操作。 这将是您连接计算机的基准

然后按照上述指令再次安装 Ubuntu，尤其是：保持冷静并阅读更多有关 Ubuntu 工作原理的文档，如果您有更具体的问题，请提出一个新问题。

Answer 2

我的大部分内容都基于原始帖子（标题除外）。

我觉得我的电脑被黑了。我该怎么办？......我应该如何进行？

您应该做的第一件事是保持冷静，确认情况确实如此。建设性地：您原始帖子中的许多评论表明，您根本不了解您提到的概念中有多少是有效的。面对不被理解的技术，很容易（也可以理解）得出错误的结论并变得偏执。我怀疑您将您不理解的命令的输出、计算机的正常行为等误解为被黑客入侵。在这里使用适当的批判性思维很重要。

这并不是说您没有遇到实际问题，而是在没有提供具体信息和准确观察的情况下，很难将实际问题与疑似问题区分开来。

当我的 PC 与以太网和 WIFI 断开连接时，我的 Ubuntu 正在接收入站流量，...

您如何确定您正在接收入站流量？如果您想实际确定您正在接收入站流量，请使用适当的工具。例如，使用Wireshark（在 Ubuntu 的存储库中可用）来观察流量。应用过滤器并查找来自外部 IP 地址的内容（而不是尝试访问的本地应用程序，它们在没有 Internet 连接的情况下仍会尝试）。您还可以查看所有可用接口上的实时数据包计数，以了解哪些接口正在被积极使用。你也可以ifconfig用来列出你的接口；那里提供了网络使用统计信息，也可以对其进行监控。

...所以我的问题是，我如何接收入站流量？

你不是！除非您以某种方式没有注意到从 PC 中伸出的电话线 :) 并且您在某处建立了拨号连接，或者您主动通过 USB 或蓝牙设备进行了网络共享的重要过程然后忘记了您这样做，如果您未连接到网络，则不会收到入站流量。

回到第一段，我怀疑你误解了信息。例如，在您的原始帖子中，您写道：

我不知道是不是 b/c 现在他们只是在监视我 b/c 他们知道我一直在与 FBI 交谈，但他们仍在监听我的端口，尤其是“套接字”，这是什么我不熟悉的。昨天无意中查到信息，看到“Sockets”信息，打开了50多个socket，另一端有人在听。

然而，这代表了一个根本性的误解。首先，“监听我的端口，尤其是“套接字””根本没有意义！您的术语不太正确，因此该声明不清楚，并且无法说出您在这里的意思或这个想法的来源。这为您的误解提供了证据（这没有错）。

套接字可以在离线时打开，这并不可疑。“[套接字的]另一端有人在听”的想法作为一个概念没有意义，并且没有可以显示此类信息的工具。但是，要解释为什么我必须解释这是如何工作的，这超出了本答案的范围。我怀疑您误解了LISTENINGegnetstat或其他内容中的状态（实际上是指您机器上的本地应用程序侦听来自外部的连接，而不是相反）。

特尔；博士：

在您的原始帖子中还有许多其他陈述 - 我无法在此处全部解决。关键是，你要保持冷静，获得理解，使用适当的工具具体验证你的说法是否真实，然后合理地组织相关信息，才能得出正确的结论。这将使您确定 a) 实际上不存在问题，或 b) 存在可以找到解决方案的明确定义的问题。不用担心：简单、可靠且负担得起的安全解决方案绝对存在，但要使用这些解决方案，您必须首先验证您的问题并具体处理细节。也许，就您而言，将您的焦虑转向决心和分析而不是恐慌可能会有所帮助。:)

截至目前，尽管您担心，但似乎还没有足够的确凿证据表明存在问题。如果有是一个问题，你还没有给予足够的准确信息，让我们来告诉你可能是什么，以及如何解决它。

不过，最后一点是（强调我的）：

例如，我使用的是 Key Scrambler 和 Anti Key logger，只要我上网，它们就会关闭它们。

我强烈建议不要下载和安装这种可疑的软件工具。像这样的事情很可能是恶意软件的来源，并导致您在原始非 Linux 系统上出现一些原始问题。像这样“解决”这类问题的努力很容易使事情变得更糟，甚至首先导致问题。