Se cambió la contraseña de Linux. ¿Es esto un ataque o un error de hardware?

13

La contraseña de mi Linux (Ubuntu 12.04) cambió repentinamente anoche y no estoy seguro si esto es un ataque o solo un error de hardware / usuario. Esto está en una caja personal / no servidor. Varios eventos extraños llevaron a ello, enumerados a continuación:

  • Mientras navego por páginas web, parece que no puedo desplazarme hacia abajo. Mi mano derecha estaba en mi ratón, dejé de comer comida, así que estoy seguro de que no estoy presionando accidentalmente ninguna tecla. Corrí showkey y descubrí que de vez en cuando, recibía spammed por keycode 104 events. 104 parece ser Pg Up.
  • Entonces sucedió que parece que no puedo obtener mi contraseña correcta cuando invoco los comandos sudo. Sin embargo, puedo hacer que sudo se autentique si copio y pego mi contraseña.
  • En este momento, sospeché y verifiqué si hay algún inicio de sesión no deseado en mi casilla. El comando who se devuelve como se esperaba (es decir, solo yo y mis terminales abiertos) y sshd no se está ejecutando ni puedo acceder al puerto 22 (a través de telnet).
  • Finalmente, bloqueé mi pantalla y, cuando regresé, me pidieron una contraseña y ya no puedo ingresarla correctamente.
  • Mi máquina es de arranque dual con Windows 8. Intento iniciar sesión en Windows 8 y, cuando ingreso mi contraseña, me parece notar que cuando ingreso mi contraseña (19 caracteres de longitud, igual que en Ubuntu) , el cursor de repente cambia al primer carácter. Entonces, por ejemplo, si mi contraseña es "contraseña", ingresarla directamente se convierte en "dpasswor". Esto me consiguió algunas veces hasta que observé el comportamiento. Ayuda que Windows 8 le permita la opción de ver la contraseña que escribe. Sin embargo, aún puede editarlo e iniciar sesión en Windows.

Esta no es la primera vez que mi teclado falla de esta manera. El año pasado, fueron los botones de dirección que fueron las señales de spam. Lo que me molesta particularmente es que me quedé bloqueado de mi máquina y que parecía cambiar mi contraseña e introducir todo ese extraño comportamiento.

Lo dejé durante la noche y me levanté hoy para abordar el problema. Windows ya no muestra el comportamiento extraño de la última viñeta. He podido restablecer mi contraseña de Linux (a algo más corto mientras tanto). who y telnet / ssh es el mismo que nunca y parece que ya no observo las señales de 104 teclas no deseadas. ¿Hay otros pasos que me aconsejen tomar?

    
pregunta skytreader 21.09.2014 - 10:20
fuente

2 respuestas

14

Tienes razón al hacer la pregunta. La situación como la describe permite tanto un ataque como una falla de hardware (es decir, falla del teclado).

si tenía algunas copias de / etc / shadow antes de que apareciera y después de que pudiera ver si el hash salado era diferente, esto habría sido una buena indicación de que la contraseña realmente se cambió y no solo ha habido un problema con la introducción de la contraseña debido a las pulsaciones de tecla enviadas por el teclado que cambió la posición del cursor al introducir la contraseña. Como es posible que haya sido una de las personas que realiza una copia de seguridad de vez en cuando, es posible que tenga la copia antes de que se produzca y tal vez haya realizado una copia del archivo /etc/shadow después de volver a cambiar su contraseña. Luego solo verifica las inconsistencias allí.

Lo que habla a favor de la explicación de una falla de hardware es que experimentaste problemas en el inicio de sesión de win8, que parecía ser un mal funcionamiento del teclado que el resultado de un hack. O al menos parece extraño que la contraseña de Windows no debiera haber sido cambiada por el ataque, ya que era posible y el atacante no debería haber intentado encubrir nada en Linux e incluso crear sospechas en el inicio de sesión de win8. Parece extraño causar sospechas innecesariamente.

Para emitir un mejor juicio acerca de si hay mejores cambios para asumir un hack por una falla de hardware, por supuesto, hubiera sido bueno saber qué sitio web visitó. Seguramente algunas regiones de la web tienen más probabilidades de atacar su sistema atacando primero los navegadores.

Como indicaste que usaste X11 y no Wayland (lo cual sabrías, ya que se requiere un esfuerzo para configurar aún) el vectore de X11 desde el navegador a la terminal / sudo existe.

Lo siento, la respuesta no da una respuesta fija, pero solo intenta ayudarlo a hacer una conjetura. Tal vez tenga suerte y pueda intentar obtener alguna información a través del /etc/shadow que, en caso de que se cambie la contraseña, tiene una alta probabilidad de reflejarlos. Como usted mismo no cambió la contraseña, un cambio percibido en /etc/shadow iría muy lejos al sugerir que hubo un hackeo

    
respondido por el humanityANDpeace 21.09.2014 - 11:21
fuente
26
  

Mientras navego por páginas web, parece que no puedo desplazarme hacia abajo. Mi mano derecha   estaba en mi mouse, se dejó comer comida , así que estoy seguro de que no estoy accidentalmente   presionando cualquier tecla Corrí showkey y descubrí que de vez en cuando   luego, obtendría spam por Keycode 104 eventos. 104 parece ser Pg Up .

     

Intento iniciar sesión en Windows 8 y, cuando ingreso mi contraseña, parece que   observe que, cuando ingrese mi contraseña (19 caracteres de largo, igual que   Ubuntu), el cursor cambia repentinamente al primer carácter . Entonces para   Por ejemplo, si mi contraseña es "contraseña", ingrésela directamente   se convierte en "dpasswor".

¿Alguna pregunta más? :) Hay comida atascada debajo de la tecla PgUp o es un problema electrónico, como una grieta en la línea madre.

¿Cómo esto podría afectar su archivo de contraseña es misterioso, pero tal vez no lo hizo y saltó alrededor? Más probable es que la combinación de teclas PgUp se interpretó como parte de la contraseña.

    
respondido por el user55886 21.09.2014 - 14:12
fuente

Lea otras preguntas en las etiquetas