Igen sospecha que alguien está controlando mi computadora usando alguna aplicación de escritorio remoto. ¿Cómo verifico si tengo razón o no?
Mi única pista es que mi mouse a veces comienza a moverse al azar (no es un error del mouse, ni siquiera se mueve en línea recta, y a veces de 5 a 10 segundos alrededor de la pantalla.
Estoy usando fedora 17.
¿Cómo puedo verificar esto y detenerlo?
Si alguien está accediendo a su computadora, habrá tráfico de red relacionado con esto. Si bien, si sospecha que su PC ha sido comprometida, entonces puede No confíe en los datos que obtiene de la computadora , pero puede monitorear el tráfico usando una caja separada y (por ejemplo, Wirehark)
netstat (estadísticas de red) es una sencilla herramienta de línea de comandos que muestra todas las conexiones activas tanto entrantes como futuras, y proporciona una serie de estadísticas de interfaz de red útiles. Puede explorar más a fondo en cómo usar este comando para detectar IP sospechosas. Para el bloqueo puede usar IPtables que es un cortafuegos de capa de red muy útil para bloquear todas las IP de la lista negra o las conexiones salientes no deseadas escribiendo reglas para ellos.
En primer lugar, deberá proporcionar más información en su pregunta para ayudar a esta audiencia a reducir su atención y asistirlo. Tal como lo propuso, su pregunta es como preguntar: mi casa podría haber sido invadida, ¿cómo puedo saberlo mientras estoy de vacaciones en África?
En segundo lugar, habiendo instalado sistemas linux (siendo fedora uno de ellos) en una variedad de configuraciones de hardware, a veces puede obtener este comportamiento solo desde el sistema. Últimamente, por ejemplo, en mi sistema Ubuntu, he estado encontrando por alguna extraña razón, cuando conecto unidades USB (las que ya conocía) a mi máquina, mi mouse inalámbrico comienza a tener un comportamiento muy similar: se vuelve errático. Entonces, lo que está presenciando podría ser simplemente un cambio en el núcleo que es inestable.
Finalmente, el consejo que se proporciona arriba es bueno, sin embargo, algunos consejos e ideas:
Si se ha instalado un rootkit en su máquina, comprenda que cualquier utilidad (incluido netstat) podría estar subvertida, por lo que no puede probar lo que se informa. Si desea escuchar el tráfico de red que proviene de / hacia su máquina, deberá hacerlo desde una máquina independiente. Puede hacer esto muy fácilmente tomando un dispositivo Snorby y configurándolo en otra máquina (es una VM) en su subred y escuchando su tráfico. ( enlace )
Arranque su máquina con un ordenador de Fedora limpio y reúna los hashes md5 de todos los binarios clave. Luego, configure una instancia limpia en una máquina virtual y colóquela en el mismo nivel de ejecución que la suya y capture la misma base hash. Haz una diferencia.
Ejecute la lista de verificación de SAN proporcionada.
Busque en Google y vea si otros usuarios de su versión / nivel de fedora tienen problemas similares con la configuración del mouse que tiene. Yo haría esto PRIMERO antes que cualquier otra cosa.
Solo algunas de las cosas rápidas que puedes hacer. Puedes ser tan diligente como quieras y llevarlo al nivel que quieras. Depende de usted y del tiempo que tenga.
Puede verificar si hay una aplicación de escritorio remoto en su computadora usando netstat (netstat -ltp o netstat -ltpn si desea que netstat resuelva hosts y puertos). La aplicación de escritorio remoto más utilizada es VNC, que debería escuchar en el puerto 5900 de forma predeterminada. Si algo así está escuchando, entonces es posible que tenga un problema :)
Pero si no puede encontrarlo de esta manera, no significa que su computadora esté segura, ya que la persona puede haber instalado un rootkit que secuestra las informaciones leídas por netstat. Entonces, puede instalar algo como wireshark y tcpdump, detener todas sus actividades usando la red (navegación web, correo electrónico, mensajería instantánea, etc.) o aprender a usar filtros en wireshark / tcpdump y ver si hay actividad de red restante. Luego, tendrá la dirección IP desde la que la persona debe conectarse (puede estar falsificando su dirección IP usando un retransmisor de tor o calcetines, pero eso está fuera del alcance de esta respuesta).
También puede usar nmap para encontrar puertos abiertos en su computadora. Pero a veces, algunas puertas traseras utilizan el bloqueo de puertos (por ejemplo, esperan paquetes específicos con un indicador particular habilitado) para ocultarse (SAdoor usa esto).
También puedes ejecutar los comandos chkrootkit y rkhunter en tu sistema. Pero no detectará las puertas traseras modificadas.
Puede obtener otros consejos útiles en la hoja de trucos aquí: enlace
Hay una cosa MUY REAL que puedes hacer para averiguar si se trata de un problema técnico o de un acceso remoto. Si ocurre con regularidad, simplemente desconecte su computadora de la red la próxima vez que ocurra. Ver si el movimiento continúa o se termina. Si alguna vez sucede mientras está desconectado, es un problema técnico. Si se detiene constantemente al desconectar la red, entonces probablemente querrás mirar las cosas más de cerca.
Lea otras preguntas en las etiquetas remote-desktop ids