La password di Linux è cambiata. È un attacco o un problema tecnico?

Naviga le tue risposte
13

La mia password Linux (Ubuntu 12.04) è stata improvvisamente cambiata ieri sera e non sono sicuro che si tratti di un attacco o di un errore hardware / utente. Questo è su una scatola personale / non server. Diversi eventi strani hanno portato ad esso, elencati di seguito:

  • Durante la navigazione nelle pagine Web, non riesco a scorrere verso il basso. La mia mano destra era sul mio mouse, a sinistra a mangiare cibo quindi sono sicuro di non aver premuto accidentalmente alcun tasto. Ho eseguito showkey e ho scoperto che ogni tanto ricevevo spam da keycode 104 eventi. 104 sembra essere Pg Up.
  • Poi è successo che non riesco a ottenere la password giusta quando invoco comandi sudo. Tuttavia, posso ottenere sudo per l'autenticazione se faccio copia-incolla la mia password.
  • Mi sono insospettito a questo punto e ho controllato se ci sono accessi indesiderati nella mia scatola. Il comando who restituisce come previsto (vale a dire, solo me e i miei terminali aperti) e sshd non è in esecuzione, né posso accedere alla porta 22 (via telnet).
  • Alla fine, ho bloccato lo schermo e, quando sono tornato, mi è stata richiesta una password e non riesco più ad inserirla correttamente.
  • La mia macchina è dual-boot con Windows 8. Provo ad accedere a Windows 8 e, quando inserisco la mia password, mi sembra di notare che, quando inserisco la mia password (19 caratteri lunghi, come quelli di Ubuntu) , il cursore si sposta improvvisamente sul primo carattere. Quindi, ad esempio, se la mia password è "password", inserendola direttamente diventa "dpasswor". Questo mi ha fatto un paio di volte fino a quando ho osservato il comportamento. È utile che Windows 8 ti consenta di vedere la password che digiti. Puoi comunque modificarlo e accedere correttamente a Windows.

Questa non è la prima volta che la mia tastiera ha sbagliato in questo modo. L'anno scorso erano i pulsanti di direzione a segnalare lo spam. Ciò che mi preoccupa in particolare è che sono stato bloccato dalla mia macchina e che mi è sembrato per cambiare la mia password e introdurre tutto questo strano comportamento.

L'ho lasciato durante la notte e mi sono svegliato oggi per risolvere il problema. Windows non mostra più il comportamento strano dell'ultimo proiettile. Sono stato in grado di resettare la mia password Linux (per qualcosa di più breve nel frattempo). who e telnet / ssh sono gli stessi di sempre e non sembro più osservare i segnali indesiderati di pressione del tasto 104. Ci sono ulteriori passaggi che mi consigliate di prendere?

    
posta skytreader 21.09.2014 - 10:20
fonte

2 risposte

14

Hai ragione nel porre la domanda. La situazione così come la descrivi consente sia a un attacco sia a un guasto hardware (ad esempio, l'errore della tastiera).

se avessi delle copie di / etc / shadow prima del verificarsi e dopo avresti potuto vedere se l'hash salato era diverso, sarebbe stata una buona indicazione che la password è stata effettivamente cambiata e non c'è stato solo un problema con l'inserimento della password a causa dei tasti inviati dalla tastiera che ha modificato la posizione del cursore durante l'inserimento della password. Dato che potresti essere stato una delle persone a fare il backup una volta ogni tanto, potresti avere la copia prima del verificarsi e forse hai fatto una copia del file /etc/shadow dopo aver cambiato la password. Quindi controlla le incoerenze lì.

Ciò che è a favore della spiegazione di un guasto hardware è che hai riscontrato problemi all'accesso win8 che sembrava essere un malfunzionamento della tastiera piuttosto che il risultato di un hack. O almeno sembra strano che la password di Windows non debba essere stata modificata dall'attacco, come era possibile e l'attaccante non avrebbe dovuto cercare di coprire nulla in Linux e persino creare sospetti nel login di win8. Sembra strano causare sospetti inutilmente.

Per meglio dare un giudizio su se ci sono cambiamenti migliori per assumere un hack su un guasto hardware, ovviamente sarebbe stato bello sapere quale / i sito / i web che stavi visitando. Sicuramente alcune regioni del web hanno più probabilità di attaccare il tuo sistema attaccando prima i browser.

Come hai indicato che hai usato X11 e non Wayland (che tu sapresti - poiché richiede ancora un po 'di setup) il vectore di X11 dal browser al terminale / sudo esiste già.

Mi dispiace che la risposta non fornisca una risposta fissa, ma cerca solo di aiutarti a indovinare. Forse sei fortunato e puoi provare a ottenere qualche informazione tramite /etc/shadow che in caso di password modificata ha un'alta probabilità di rispecchiarli. Dal momento che tu stesso non hai cambiato la password, una variazione percepita in /etc/shadow andrebbe molto lontano suggerendo che c'era un trucco

    
risposta data 21.09.2014 - 11:21
fonte
26

While browsing web pages, I can't seem to scroll down. My right hand was on my mouse, left eating food so I'm sure I'm not accidentally pressing any keys. I ran showkey and discovered that every now and then, I'd get spammed by keycode 104 events. 104 seems to be Pg Up.

I try to log-in to Windows 8 and, when I enter my password, I seem to notice that, when I enter my password (19 chars long, same as Ubuntu's), the cursor suddenly shifts to the first character. So, for instance, if my password is "password", entering it straight out it becomes "dpasswor".

Altre domande? :) C'è o cibo bloccato sotto il tasto PgUp o è un problema elettronico come una crepa per capelli sulla scheda madre.

Il modo in cui questo potrebbe influenzare il tuo file di password è misterioso, ma forse non lo è stato e anche questo è saltato in giro? Più probabile il tasto PgUp è stato interpretato come parte della password.

    
risposta data 21.09.2014 - 14:12
fonte

Leggi altre domande sui tag

Assegnazione indirizzo IP per LAN La 2FA è davvero necessaria con password ad alta entropia?