Ich glaube, ich wurde gehackt. Was kann ich tun? [geschlossen]

7

Ich habe kürzlich Ubuntu 15.xx installiert und glaube, dass mein Computer gehackt wurde.

Der Name meines Computers wurde in geändert. imatransvestiteObwohl ich die Kennwörter immer noch ändern kann, kann ich sie nicht sudoohne diesen Fehler verwenden:sudo: unable to resolve host imatransvestite

Was kann ich tun, um dies zu beheben, und was soll ich tun?

networking albvik
quelle
1
Von Grund auf neu installieren. Konfigurieren Sie die Firewall nach Abschluss Ihrer Installation und verwenden Sie keine nicht vertrauenswürdigen drahtlosen Netzwerke oder Websites (dies ist wahrscheinlich ein Vektor dafür, wie Sie gehackt wurden)
Thomas Ward
1
Siehe @ThomasW. Rat + Sie müssen zuerst herausfinden, wie Sie gehackt wurden. Unter normalen Umständen höchst unwahrscheinlich.
Jacob Vlijm
1
Enge Wähler: Dies ist nicht wirklich "zu weit gefasst", so dass es an der Zeit ist, das System zu zerstören, wenn sie gehackt werden. Meine Antwort gibt ihnen eine Vorgehensweise. Wir müssen dies nicht als "breit" schließen
Thomas Ward
3
Sehr relevant: Wie gehe ich mit einem kompromittierten Server um? bei Serverfehler .
ein CVn
1
Wenn Ihr System @albvik gehackt wurde, sollten Sie darüber nachdenken, welche Informationen möglicherweise kompromittiert wurden und welche Konsequenzen dies haben könnte. Ist das ein persönliches System mit persönlichen Daten? Ein Server, der Kundendaten enthält oder trojanisierte Webseiten für Besucher bereitstellt? Dies ist möglicherweise für Ihre Angreifer (und für sich selbst) wertvoller als die einfache Tatsache des Hacks selbst.
Rob Moir

Antworten:

18

Wenn Sie gehackt wurden oder sogar glauben, gehackt worden zu sein, gibt es keine einfache Möglichkeit , festzustellen, was alles mit Ihrem System geschehen ist.

In Ihrem Fall wissen wir, dass zumindest der Hostname Ihres Systems geändert wurde. Es könnte jedoch eine Hintertür für den Hacker installiert worden sein. Malware könnte installiert worden sein. Ihr System könnte für die Verwendung von vergiftetem DNS konfiguriert sein. Möglicherweise haben Sie Malware, die sehr, sehr illegale NSFW-Inhalte auf Ihren Computer herunterlädt. Es gibt buchstäblich eine endlose Liste von Dingen, die Ihr Computer aufgrund von Hacking tun könnte.

Ihre beste Lösung ist "Nuke It From Orbit" TM oder in Laienbegriffen "Vollständig von Grund auf neu installieren".

Führen Sie neben der Neuinstallation Ihres Systems die folgenden Schritte aus:

  1. Ändern Sie alle Ihre Passwörter auf den von Ihnen verwendeten Websites . Möglicherweise befinden sich Ihre Passwörter jetzt in den Händen des Hackers. Es ist also Zeit, andere zu verwenden.
  2. Richten Sie eine Firewall ein. Führen Sie nach einem sauber installierten System die folgenden Befehle aus, um sicherzustellen, dass eine Firewall installiert und aktiviert ist. Dies hilft, Ihr System zu sichern: 
    sudo apt-get install ufw
sudo ufw aktivieren
  3. Verwenden Sie nur Netzwerke und Websites, denen Sie vertrauen, dass sie nicht bösartig sind. Ungesicherte drahtlose Netzwerke sind ein Paradies für Hacker, und nicht vertrauenswürdige Websites können Malware oder andere Dinge enthalten, die die Privatsphäre verletzen und dazu führen können, dass Sie gehackt werden.
  4. Verwenden Sie für jedes Login unterschiedliche Passwörter und verwenden Sie einen Passwort-Manager, um diese zu verwalten / zu speichern . Stellen Sie sicher, dass das Passwort eines Passwort-Managers nicht mit einem anderen Passwort übereinstimmt, das Sie verwenden, und stellen Sie sicher, dass alle Ihre Passwörter unterschiedlich sind. Dies gilt auch für Ihr Benutzerkonto. Dies ist eine der effektivsten Methoden, aber etwas schwieriger.
Thomas Ward
quelle
Ist UFW nicht standardmäßig installiert und aktiviert? Oder nur bei neueren Versionen?
Byte Commander
1
@ByteCommander Alle, die ich gesehen habe, 14.04+, ufwsind installiert, aber ich glaube nicht, dass sie aktiviert sind. Ich baue meine Ubuntu-VMs zum Testen neu auf, aber es tut nie weh, sie in die Liste der zu erledigenden Aufgaben aufzunehmen. Denn immer zu überprüfen ist besser als nicht.
Thomas Ward
Das ist sicher. Ich kann mich aber nicht erinnern, es manuell auf meinem neuen 15.10 installiert zu haben, aber es ist aktiviert.
Byte Commander
1

Wenn Sie gehackt wurden, sollte Ihre oberste Priorität darin bestehen, den Angriffsvektor zu bestimmen - andernfalls wird es einfach wieder vorkommen. Sichern Sie alle relevanten Protokolle und überprüfen Sie sie, bevor Sie das System löschen und alles neu installieren. Wenn Ihr Angreifer die Protokolle nicht gelöscht hat, sollten Sie eine ziemlich gute Vorstellung davon haben, wie sie eingegangen sind und wie Ihre ersten Schritte aussehen sollten, wenn Sie Ihr System neu installieren.

Zufälliger Sicherheitsmann
quelle