几周前,我的机器(我们称之为“主”)被未经授权的主机无线登录,可能是使用 ssh。直到几天前我才检测到入侵,我的机器完全关闭了。我使用以下行找到了登录信息last:
myusername pts/1 ipad Tue Oct 15 22:23 - 22:25 (00:02)
不用说,不仅我家里没有人拥有 iPad,而且我的朋友中几乎没有人拥有。这让我怀疑幕后黑手是否更改了他们机器的主机名。
此外,我在last我的另一台机器(“辅助”)的输出中发现了这一行:
myusername pts/2 :0 Tue Oct 15 22:23 - 22:23 (00:00)
此行与主服务器的时间戳相吻合,主服务器无需密码即可通过 ssh 访问辅助服务器(通过密钥)。是否有可能闯入主服务器的人也拥有辅助服务器的权限?我该如何防止这种情况再次发生?是否有日志可供我查看以确定主服务器的访问方式(我是系统上唯一的用户,并且密码非常强)?这是否可能只是发生的一个奇怪的错误?我应该从哪里开始寻找 rootkit 和/或键盘记录器?
简而言之,我该怎么办?
答案1
至于可能存在的硬盘黑客攻击:
- 重新刷新 BIOS
- 购买一个新的、最小的 USB 记忆棒。从那里启动。
- 使用全盘加密
/。 - 常见的“更改所有登录”例程。
这应该涵盖任何可能的硬盘漏洞场景。
但真正让我担心的是最近几款主板上增加的防盗和管理功能。一些硬件供应商可以选择允许用户永久禁用这些功能,而有些...则没有。
我建议你检查一下主板是否具有这些远程管理功能,以及(如果可能)是否已激活这些功能。想象一下,如果远程攻击者获得了基于硬件的远程管理功能……
答案2
取出所有数据并重新进行全新安装。
更改所有密码,包括您的 WiFi 密码。
这样,你就知道你肯定是安全的。
答案3
试试防火墙怎么样?Ubuntu 中有一个内置防火墙,名为 ufw - 输入 ufwman ufw可获取更多信息和配置。但最好安装一个允许您配置它的图形应用程序。您可以尝试海湾战争。