我认为我的计算机已经被入侵过三次了。
上周,我在电脑上听音乐(MacBook Air 4,2 上的 ubuntu 12.04.1 LTS),我的手离键盘和触控板很远(在一本真正的书上)并且 Firefox 是焦点。我既不是极客也不是“家庭用户”。
我看到我打开的网页自动滚动几次(未重新加载)。我移动了驼鹿,5 分钟后又发生了这种情况。我禁用了 wifi。当时 aMule 正在运行。Skype 也一样。一些端口已打开,但不适用于我的 IP 地址。我的系统 3 小时前已更新(但不是内核),因此是最新的。
10 分钟后,ubuntu 更新管理器提示我Linux 内核的更新。其中一个软件包使用俄语命名(linux-image-generic)。以前从未发生过这种情况,所以我还没有应用它。是的,我已将俄语添加到键盘映射和俄语虚拟/可视键盘中。
三天后,我再次看到 Firefox 中打开的网页自动滚动。aMule 没有运行,但 skype 正在运行。
一天后(现在),我甚至在 Ubuntu 软件中心发现一些软件包的名称被翻译成了俄语。不是应用程序,只是软件包。
1. 我如何知道我的计算机是否遭到入侵?
2. 我如何知道是否有人远程更改/破坏了我的系统中的某些软件包或配置?
3. 特别是有关更新管理器和 Firefox 配置文件的内容?
后者(首次使用)
sudo lsof -i | grep ESTABLISHED
我没有注意到任何奇怪的联系(但我可能错了)。
而且(也是第一次)
chkrootkit
回答
Checking `sniffer'...
wlan0: PACKET SNIFFER(/sbin/wpa_supplicant[1052], /sbin/dhclient[21907])
请不要回答我,创建新的 Firefox 配置文件或安装新系统(我可以做出这个决定并去做;-)):下次我想要知道、理解、修复并受到保护。
答案1
总结一下您的问题,这些是您在计算机上看到的可疑活动:
- Firefox 上的网页会自动滚动。
- 更新管理器中提出了一个名为“универсальный образ ядра Linux”且副标题为“Linux-image-generic”的更新。所有其他更新均采用默认的 Ubuntu 语言。软件中心中某些软件包的名称已翻译成俄语。不是应用程序,只是软件包。
对于第二项活动,我根本不认为这有什么可疑。Ubuntu 分为数千个软件包,每个软件包都可以接收更新。如果不是 Ubuntu 存储库中的所有软件包在发布之前及时将其元数据翻译成俄语,我不会感到惊讶,这很遗憾。英语仍然是 Ubuntu 中使用最广泛的语言。
对于第一个问题,我认为这更可能是错误而不是安全漏洞。即使您从触摸板和鼠标上意识到了这一点,也可能是硬件有问题,在不应该的时候向您的计算机发送信号,或者软件存在错误,无法正确解释鼠标信号。
您运行的命令的输出对我来说看起来并不可疑,尽管我只是看了一眼并没有对其进行正确分析。