il pc operava da solo aiuto !!!!

[AlienGray]

Salve ragazzi ho un grosso problema , stavo controllando il mio pc linux(ubuntu 10.04) da remoto tramite vnc ,ad un tratto mi trovo una pagina web aperta sconosciuta,la chiudo e all'improvviso si aprono altri tab e vedo digitare l'indirizzo della pagina da me chiusa in precedenza.Preso dal panico spengo il pc e riavvio il router,ho paura che il mio pc linux sia infetto , da premettere che io non ho utilizzato una password per il controllo remoto , il pc di mio fratello è infetto fino all'orlo è ho il sospetto che qualcuno si sia connesso tramite il suo pc,vi chiedo come posso controllare se il pc linux sia infetto o meno , e esiste la possibilità di controllare la cronologia degli accessi fatti tramite vnc.Ragazzi formattare il pc linux in questo momento per mè e impossibile , datemi una mano !!!

[Cobra78]

Domanda forse cretina: se lo controllavi da remoto come sai che non c'era qualcuno fisicamente alla tastiera? E comunque se non hai utilizzato una password non serve che sia infetto da nulla per entrarci.

Mettici una password e al 99% hai risolto il problema!

[sacarde]

guarda nei log:

/var/log/auth.log

o : last

[AlienGray]

grazie per avermi risposto ragazzi , X Cobra78:impossibile che qualcuno fosse presente sulla tastiera , te lo spiego subito erano le 3 di notte circa i miei fratelli lavorano in un panificio ^^

[Chiancheri]

Quote:

Originariamente inviato da AlienGray

Salve ragazzi ho un grosso problema , stavo controllando il mio pc linux(ubuntu 10.04) da remoto tramite vnc ,ad un tratto mi trovo una pagina web aperta sconosciuta,la chiudo e all'improvviso si aprono altri tab e vedo digitare l'indirizzo della pagina da me chiusa in precedenza.Preso dal panico spengo il pc e riavvio il router,ho paura che il mio pc linux sia infetto , da premettere che io non ho utilizzato una password per il controllo remoto , il pc di mio fratello è infetto fino all'orlo è ho il sospetto che qualcuno si sia connesso tramite il suo pc,vi chiedo come posso controllare se il pc linux sia infetto o meno , e esiste la possibilità di controllare la cronologia degli accessi fatti tramite vnc.Ragazzi formattare il pc linux in questo momento per mè e impossibile , datemi una mano !!!

che sia infetto ne dubito di certo...

In ogni caso, ti basterebbe crearti un nuovo utente sul pc con linux, accedere al sistema linux con ssh e dare il comando "users" per vedere quali utenti stanno usando il pc. Se hai effettuato l'accesso con un nuovo utente, non dovresti trovarne altri connessi.

Ad ogni modo ci sono diversi modi per vedere chi sta facendo cosa, ma di sicuro il format è inutile, basta che capisci un pò come stanno le cose.

[AnonimoVeneziano]

Sinceramente mi sembra strano che uno che riesce ad ottenere il controllo del tuo PC si metta a navigare con firefox , anzichè fare cioè che normalmente fa un hacker quando prende il controllo di un sistema...

[Gimli[2BV!2B]]

Se uno non c'ha una mazza da fare può lanciare una ricerca a caso di pc con porte sensibili aperte e "divertirsi" a fare il crackerone anche solo azzeccando la password usando un brute force a dizionario (hai una password semplice semplice?).
Se uno ottiene l'accesso in questo modo, in media, poi non ha molto da fare oltre a ficcanasare e gironzolare nel pc...

Per evitare questi personaggi basta non usare le porte di default.
Se hai già impostato porte diverse, hai password decenti o chiavi e non hai dato l'accesso al sistema a qualche amico in vena di scherzi, anch'io trovo piuttosto inusuale che qualcuno si sia messo a gironzolare così inutilmente nel tuo pc...

[AlienGray]

ripeto che non è stata impostata una password per poter controllare il pc tramite vnc , le porte sono quelle di default

[Damage92]

Quote:

Originariamente inviato da AlienGray

ripeto che non è stata impostata una password per poter controllare il pc tramite vnc , le porte sono quelle di default

Appunto, qualcuno lo avrà scoperto e si è divertito
Metti una password a vnc e hai risolto!

[HexDEF6]

usare vnc solo per controllare il pc da remoto e' una cavolata... farlo senza password e' da suicidio.

Il protocollo vnc non e' criptato, e quindi anche se hai una password, questa passerebbe in chiaro...

la cosa migliore e' usare un tunnell ssh e farci passare vnc e lasciare solo la porta 22 aperta...

l'idea di cambiare le porte di default di solito non e' molto buona, perche' la 22 si trova aperta in uscita in molti collegamenti, la cosa da fare e' usare password forti, o meglio ancora le chiavi.

[pabloski]

comunque aldilà dei consigli per il futuro, allo stato attuale posso solo dirti che:

1. controlla il tuo router, potrebbe permettere l'accesso dall'esterno al server vnc del computer linux ( lo so è raro ma se fossi un hacker userei upnp per aprirmi una backdoor proprio in questo modo )

2. il pc di tuo fratello è pieno di malware? beh a questo punto al 99% l'hacker si è connesso al pc di tuo fratello e tramite quello può aver avuto accesso al pc linux, oppure ha attivato il forwarding sul router come ho detto al punto 1

3. se vuoi controllare la presenza di malware sul pc linux, contralla i log, dai il comando "ps -A" da terminale e guarda i processi attivi per individuare qualcosa di sospetto

infine installa rkhunter e fagli scansionare il sistema

comunque al 90% il sistema linux è ok, il problema è che l'hacker tramite il pc di tuo fratello ha potuto aprirsi tante di quelle porte che tra poco te lo ritroverai in casa

fai un bel formattone al pc di tuo fratello

[AlienGray]

Grazie di tutto ragazzi , vista la brutta esperienza ho preso in considerazione di cambiare completamente la mia lan , vorrei separare 2 gruppi di pc.Gruppo A (famiglia / svago ) Gruppo B (lavoro) implementando nella rete un Firewall Linux basato su ubuntu o altro ... sulla base delle mie conoscenze di reti informatiche (scarse ) ecco a voi il mio schemino

http://img816.imageshack.us/i/doppiarete.png/


Certamente il gruppo B avrà un range di IP diversi e una sottorete diversa