Eri*_*kin 4 security remote-access tty
我最近让一个黑客(我见过一次,不太了解)通过(我猜是远程访问)连接到我的电脑 - 我不得不在第三方网站上填写我的 IP 并单击一个按钮,然后他可以完全访问我的桌面并使用我在 Ubuntu 11.04 中的命令终端进行一系列安装(我需要帮助),然后断开连接。
不久之后,我开始经历一些随机的事情——纸牌游戏在我无人看管后返回时随机打开,以及其他一些奇怪的事情。
锦上添花的是:
当我在终端中输入“who”命令时,我得到了以下信息:
*'我的用户名' tty7 2007-04-26 00:14 (:0)
*'我的用户名' pts/0 2011-11-11 21:45 (:0)
所以我担心的是,当时我什至没有这台笔记本电脑,但我的系统上只有 Ubuntu 双启动。
认为我被黑客入侵了吗?或者这只是 Natty 桌面环境的起源日期?
谁知道。我可能是偏执狂。
如果您认为自己遭到了黑客攻击,您可以通过以下几项快速操作来停止远程访问:
运行vino-preferences看看它是否被激活。如果是,请取消选中所有选项,如果需要,请更改密码。
更改您的用户密码。这将使该用户难以通过 ssh 访问。
验证没有其他用户帐户。从终端你可以做这样的事情:cat /etc/passwd|grep '/bin/bash'但是还有其他的 GUI 和终端方式。
如果您碰巧安装了 SSH 服务器,请禁用它。键入sudo apt-get purge openssh-server。如果你没有,什么都不会发生。如果你有它,它会要求你移除。
到目前为止,您只是阻止了远程访问 VNC 和 SSH 服务。
现在检查您是否在 PC 启动时运行了一些脚本。例如,正在发送给外面某人的东西。这意味着必须检查很多地方。例如:
crontab -e将显示为您的用户运行的 cron。ufw已启用并且没有某些端口转发。还要为此检查iptables。如果端口是转发的,它可能看起来像是在尝试直接访问 PC。还有很多其他方法,但这是快速和基本的。
192.168.1.1是你路由器的IP地址,不是第三方网站。您所做的是打开 SSH 或 VNC,通过转发该端口来访问您的机器。如果您重复这些步骤,但不是输入值而是删除值,您应该能够进行严格的访问。奇怪的是,它会显示一个用户从 2007 年登录,在删除端口转发后重新启动你的机器以记录任何连接的会话。