Napadení systému z internetu - jak ho lze odhalit?

[Ladka]

Zdravím,
vyskytl se mi na PC takový menší problém .... mám obavu, že mi někdo během připojení k internetu parazitoval v PC. Protože jsem naprostý amatér, chci se jen zeptat, lze nějak zjistit, zda se někdo přes net připojil do mého PC? Nějaký neoprávněý přístup nebo přenos dat? Dá se to nějak zpětně vypátrat, popř jak?
Dá se vlastně na linuxu nějak při pohybu na netu chránit? Firewall nebo tak něco? Mám Linux Mint (Debian), který má prý nějaký firewall zabudovaný, nenašla jsem ale nikde, zda je primárně aktivní popř. jak ho správně aktivovat a nastavit .....
Nejsem sice žádný podvratný živel, ale o svá data mám fakt strach :-(
Prosím poraďte někdo.

[Rover623]

Firewall je v jádře, jmenuje se to iptables. Ovšem standardně je systém nastaven tak, že veškerá výslovně neschválená spojení z venku jsou odmítnuta. Jednoduše lze říct, že všechno co správce nepovolí je odmítnuto. Lze prohlédnout log síťové komunikace jestli v něm nefiguruje velké množství příchozích požadavků z "venku"

[Ladka]

Firewall je v jádře, jmenuje se to iptables. Ovšem standardně je systém nastaven tak, že veškerá výslovně neschválená spojení z venku jsou odmítnuta. Jednoduše lze říct, že všechno co správce nepovolí je odmítnuto. Lze prohlédnout log síťové komunikace jestli v něm nefiguruje velké množství příchozích požadavků z "venku"

Aha, tak firewall jsem objevila .... takže tam vše, co chci schválit musím naklikat ručně??? Ufff.... tak to se mi zatím moc nechce .... Můžu se zeptat, jak posím prohlédnut ten "log síťové komunikace"?

[Rover623]

Je to standardní soubor ve /var/log, ale jak se jmenuje si nemůžu ani za nic vzpomenout

[petertomasy]

gufw - graphical user interface for ufw
knetfilter - GUI for configuring the kernel IPTables
fwbuilder - Firewall administration tool GUI
firestarter - gtk program for managing and observing your firewall
firestarter - gtk program for managing and observing your firewall
shorewall - Shoreline Firewall, netfilter configurator

toto su grafické nadstavby iptables...
prejdi si to , a vyber si ...

[Šuohob]

mrkni se, ktere sitove sluzby mas pustene

Kód: [Vybrat]

sudo netstat -putnaty sluzby maji obvykle logy ve /var/log, takze se tam muzes kouknout, kdo se kdy k tobe pripojil (pokud to ten hacker treba nevymazal).
iptables imho defaultne povoluje vsechny prichozi (tj kdyz se nekdo chce pripojit ke sluzbe kterou mas pustenou) i odchozi spojeni (kdyz se napriklad firefoxem divas na foru.ubuntu.cz)

[Zerog]

Zdravím,
vyskytl se mi na PC takový menší problém .... mám obavu, že mi někdo během připojení k internetu parazitoval v PC.

Jen pro zvedavost, proc si to myslis ?

[RNA]

No, a jakou cestičkou předpokládáte, že by se vám někdo dostal do počítače?
SSH? Telnet? Samba? NFS? FTP?
Jak jste připojená k internetu? Veřejná IP přímo na konektoru do počítače, nebo máte nějaký modem/router?
Jestli podezříváte SSH, tak se mrkněte do /var/log/auth.log
Telnet, předpokládám, že nemáte spuštěný, nebo alespoň není binděný na základní interface (když už tak přes VPN).
U Samby rovněž nebývá zvykem ji jen tak vyšpulit na internet, stejně tak NFS.(když už, tak NFSSH).
U FTP najdete log rovněž v /var/log a dále podle toho, co používáte za server. (ProFTP, PureFTPd, VSFTPd...)

[Ladka]

Díky za spoutu reakcí ....
K internetu jsem připojená přes jakousi nezabezpečenou síť (wifi) sdílenou od souseda na základě přátelské dohody .... není chráněná heslem, takže se k ní může připojit kdokoli ..... Bližší informace k síti bohužel nemám.... všechno si to projdu a dám vědět ...
Podezření na průnik do PC mám proto, že z nějakého neznámého důvodu mi při spuštěném thunderbirdu během psaní mailu (ten byl rozepsaný na monitoru) a já se pc ani nedotkla .... z ničeho nic se na monitoru začalo cosi psát .... několik písmen .... smazala jsem je .... a napsalo se něco jiného znovu .... Takoé chování pc mi připadá přinejmenším podezřelé .... Tak se radši ptám, jak lze takovou pirátskou aktivitu vystopovat ....

[Rover623]

Tohle bych ale nepřikládal na vrub systému jako spíš té nezabezpečené sítě, na takové síti může prakticky kdokoli odchytit posílaná data a změnit je

[Šuohob]

zajimave..
zkus ten netstat, ten by ti mel prozradit potrebne informace.
Jinak se ujisti, ze k pouzivas sifrovane protokoly (SSL/TLS) pro odesilani/kontrolu mailu

[Zerog]

Tohle bych ale nepřikládal na vrub systému jako spíš té nezabezpečené sítě, na takové síti může prakticky kdokoli odchytit posílaná data a změnit je

Jestli narazis na to, ze nekdo menil email pri psani tim ze odchytaval packety, tak je to blbost. Odchytavat je muze az kdyz je email odesilan/prijiman. Pri psani se nic neposila.

[Šuohob]

Pokud mas opravdu realne podezreni, ze tvuj system byl hacknut, tak ho reinstaluj. Jednou napadenymu systemu uz nemuzes verit

[Ladka]

Díky moc,
juknu na to.
K tomu reinstallu .... Je to nutné? Nestačilo by změnit prostě uživatelská a všechna přihlašovací hesla? Popř. jde nějak změnit heslo roota?

[Zerog]

Kód: [Vybrat]

Díky moc,
juknu na to.
K tomu reinstallu .... Je to nutné? Nestačilo by změnit prostě uživatelská a všechna přihlašovací hesla? Popř. jde nějak změnit heslo roota?
Pokud by opravdu nekdo prolomil tvoje hesla ...tak urcite si otevrel zadni vratka jak se tam dostat i bez root hesla a podobne.

[Ladka]

Kód: [Vybrat]

Díky moc,
juknu na to.
K tomu reinstallu .... Je to nutné? Nestačilo by změnit prostě uživatelská a všechna přihlašovací hesla? Popř. jde nějak změnit heslo roota?
Pokud by opravdu nekdo prolomil tvoje hesla ...tak urcite si otevrel zadni vratka jak se tam dostat i bez root hesla a podobne.

Aha. Ok. Tak to radši přeinstaluju.... Snad to bude na čas stačit ....
Poradíte kdyžtak prosím někdo, jak pak nejlépe nastavit ten firewall, aby přístup někoho zvenku neumožňoval?

[daysleeper]

Zkusím přihodit pár postřehů ze své zkušenosti:

 - to, co popisuješ ("něco mi samo píše na obrazovku") je většinou nevinný hardwarový problém (zaseklá klávesnice, špatný kabel, špatně zasunutá do počítače apod.). Další příčinou bývá nechtěné zkopírování schránky (např. kliknutím na prostřední tlačítko myši), které vypíše obsah kdysi zkopírovaného textu do aplikace (viz např. http://askubuntu.com/questions/58793/did-i-somehow-get-infected-with-spyware-or-virus).

 - proti teorii haknutí/viru hovoří další 2 věci: hacker na sebe většinou neupozorňuje; virus, který by toto dělal, není na Linuxu známý, a v případě man-in-the-middle je nepravděpodobné, že by si zrovna natrefila na linuxáka

 - pokud používáš otevřenou síť, je man-in-the-middle útok relativně jednoduchý, a firewall zde pomůže jen částečně (útočník používá stávající komunikaci, která je povolena)

 - pokud je to opravdu virus nebo něco takového, je většinou jediným řešením reinstalace

Doporučení:
 - zkontrolovat, jestli se nejedná jen o problém s klávesnicí. Případně sem dodat konkrétněji, co to psalo, jestli jen v poště nebo i v jiných programech.
 - domluvit se s ostatními na lepším zabezpečení sítě (používání hesel)
 - nainstalovat a aktivovat firewall (pro začátek stačí nainstalovat http://wiki.ubuntu.cz/GUFW a tam kliknout na Povoleno - tím je zakázán nepovolený přístup zvenčí)
 - kde je to jen možné, používat šifrovaný přenos (https), obzvláště při citlivých transakcích (banka, pracovní maily, co já vím). Dávat pozor a nepřehlížet, když mi při připojování na stránky prohlížeč sděluje, že je nějaký problém se zabezpečením (neplatný certifikát a tak).
 - učit se, jak funguje systém

Jinak ve výchozím nastavení Ubuntu (desktop) je firewall deaktivovaný, ale zároveň nejsou otevřeny žádné porty, na které by se dalo připojit.

[Rover623]

Chce to složité heslo, aby se nedalo odhadnout, pokud nebude dostatečně bezpečné heslo je celé nastavování firewallu jen ztrátou času

[daysleeper]

Chce to složité heslo, aby se nedalo odhadnout, pokud nebude dostatečně bezpečné heslo je celé nastavování firewallu jen ztrátou času

Takže když mám slabé heslo, tak mě firewall nijak nechrání?

[Rover623]

To netvrdím, programy stejně lámou ta hesla jako celek, ne písmenko po písmenku. Ale pokud už někdo zjistí heslo roota do mého systému, má minimálně 50% práce za sebou. Hlavně i proto, že při znalosti hesla lze měnit nastavení iptables i z jiného počítače

[Zerog]

Souhlasim s daysleeper. Zadny hacker o sobe takhle blbe neda znat.

Jeste me napadlo, ze na old pc, kdyz se sekalo a zaroven nekdo neco psal ...tak to pc nabufferovalo a pak to naraz vypsal    Takze clovek nic nedelal, ale pc jeste psalo.

[daysleeper]

Hlavně i proto, že při znalosti hesla lze měnit nastavení iptables i z jiného počítače

A jak? Bez využití nějaké zranitelnosti nebo trojanu se na Ubuntu desktop vzdáleně nepřipojím.

[Šuohob]

To netvrdím, programy stejně lámou ta hesla jako celek, ne písmenko po písmenku. Ale pokud už někdo zjistí heslo roota do mého systému, má minimálně 50% práce za sebou. Hlavně i proto, že při znalosti hesla lze měnit nastavení iptables i z jiného počítače

pokud nemas pustene zadne sitove sluzby, pripadne pristup z venku blokuje firewall, tak i kdyby znal rooti heslo tak mu bez fyzickeho pristupu k nicemu nebude. a jak znamo, pokud mas fyzicky pristup ke kompu a nemas sifrovany disk, tak pred ukradenim dat/zamalwarovanim te neochrani ani hypersilne heslo

[RNA]

dodejte sem výstup z
ps ax | grep vnc

(možná je to blbost, ale...)