我的电脑可能已被盗用,我该怎么办?
几个星期前,我的机器(让我们称之为“主”)从未经授权的主机无线登录,可能是使用ssh。 直到几天前我才发现入侵,我的机器完全关闭了。 我在last使用此行找到了登录信息:
myusername pts/1 ipad Tue Oct 15 22:23 - 22:25 (00:02)
毋庸置疑,我家不仅没有人拥有iPad,而且我的朋友也几乎都没有。 这让我怀疑这背后的人改变了他们机器的主机名。
另外,我在我的另一台机器(“二级”)的last输出中发现了这一行:
myusername pts/2 :0 Tue Oct 15 22:23 - 22:23 (00:00)
此行与main的时间戳重合,后者具有无密码ssh访问(通过键)到辅助。 是谁有可能闯入主要也是次要的? 我怎样才能防止这种情况再次发生? 是否有我可以查看的日志以确定主要访问权限(我是系统中唯一的用户并且密码非常强)? 难道这只是一个奇怪的错误吗? 我应该在哪里开始寻找rootkit和/或键盘记录器?
简而言之,我该怎么办?
至于可能的硬盘黑客攻击:
- 重新刷新BIOS
- 购买一个新的,最小的USB棒。 从那里开始。
- 对
/使用全盘加密。 - 通常的“更改所有登录”例程。
这应该涵盖任何可能的硬盘漏洞利用场景。
真正让我担心的是,最近几款主板上增加了防盗和管理function。 某些硬件供应商可以选择允许用户永久禁用这些function,而有些则不允许。
我建议您检查您的主板是否具有这些远程管理function,以及(如果可能)是否已激活。 想象一下,如果远程攻击者获得了基于硬件的远程管理function……
取出所有数据并进行干净的重新安装。
更改所有密码,包括您的WiFi密码。
这样,你知道你肯定是安全的。
试试防火墙怎么样? 在Ubuntu中有一个内置防火墙,名为ufw – type man ufw用于更多信息和配置。 但最好安装一个允许您配置它的图形应用程序。 你可以试试gufw 。