Igen sospetta che qualcuno stia controllando il mio computer usando qualche app per desktop remoto. Come controllo se ho ragione o no?
Il mio unico indizio è che il mio mouse a volte inizia a muoversi in modo casuale (non si tratta di un errore del mouse, nemmeno di mosse rettilinee, e talvolta di 5-10 secondi attorno allo schermo.
Sto usando fedora 17.
Come posso verificarlo e fermarlo?
Se qualcuno sta accedendo al tuo computer, ci sarà un traffico di rete relativo a questo. Se sospetti che il tuo PC sia stato compromesso, allora può si basano sui dati che si ottengono dal computer ma è possibile monitorare il traffico utilizzando una casella separata e (ad esempio) wireshark
netstat (statistiche di rete) è un semplice strumento a linea di comando che visualizza tutte le connessioni attive sia in entrata che in uscita e fornisce una serie di utili statistiche dell'interfaccia di rete. Puoi esplorare ulteriormente a come usare questo comando per rilevare IP sospetti. Per il blocco puoi usare IPtables che è un firewall a livello di rete molto utile per bloccare tutti gli indirizzi IP della blacklist o le connessioni in uscita indesiderate scrivendo regole per loro.
Per prima cosa, dovrai fornire maggiori informazioni nella tua domanda per aiutare questo pubblico a restringere e aiutarti. Come l'hai proposto, la tua domanda è come chiedere - potrebbe essersi spezzata la mia casa, come posso dirlo mentre sono in vacanza in Africa.
In secondo luogo, avendo installato i sistemi linux (fedora è uno di loro) su una varietà di configurazioni hardware, a volte è possibile ottenere questo comportamento solo dal sistema. Ultimamente, ad esempio sul mio sistema Ubuntu, ho trovato per qualche strana ragione, quando collego le chiavette USB (quelle pulite che so per certo) alla mia macchina, il mio mouse wireless inizia a fare un comportamento molto simile - diventa irregolare. Quindi quello a cui stai assistendo potrebbe semplicemente essere una modifica del kernel che è traballante.
Infine, il consiglio di cui sopra è buono, tuttavia alcuni suggerimenti e pensieri:
Se sul tuo computer è stato installato un rootkit, è possibile che qualsiasi utility (incluso netstat) possa essere sovvertita, quindi non è possibile testare ciò che viene segnalato. Se si desidera ascoltare il traffico di rete proveniente da / verso la macchina, è necessario farlo da una macchina indipendente. Puoi farlo facilmente afferrando un'appliance Snorby e configurandola su un'altra macchina (è una VM) sulla tua sottorete e ascoltando il tuo traffico. ( link )
Avvia la tua macchina con una fedora livecd pulita e raccogli gli hash MD5 di tutti i binari delle chiavi. Quindi imposta un'istanza pulita in una VM e portala allo stesso livello di esecuzione di quello che è il tuo e acquisisci la stessa base hash. Fai un diff.
Esegui l'elenco di controllo SAN fornito.
Google e vedi se altri utenti della tua versione / livello Fedora hanno problemi simili con la configurazione del mouse che hai. Lo farei PRIMA di ogni altra cosa.
Solo alcune delle cose veloci che puoi fare. Puoi essere diligente quanto vuoi e portarlo a qualsiasi livello tu voglia. Sta a te e al tempo che hai.
È possibile verificare se sul computer è presente un'app desktop remota in ascolto tramite netstat (netstat -ltp o netstat -ltpn se si desidera che netstat risolva host e porte). L'app per desktop remoto più diffusa è VNC, suppongo, che dovrebbe essere in ascolto sulla porta 5900 per impostazione predefinita. Se qualcosa del genere è in ascolto, allora potresti avere un problema:)
Ma se non riesci a trovarlo in questo modo, ciò non significa che il tuo computer sia sicuro, perché la persona potrebbe aver installato un rootkit che dirotta le informazioni lette da netstat. Quindi puoi installare qualcosa come wireshark e Tcpump, interrompere tutte le tue attività usando la rete (navigazione web, e-mail, IM, ecc.) O imparare come usare i filtri in wireshark / TcpDump e vedere se c'è ancora attività di rete. Poi avrai l'indirizzo IP da cui la persona dovrebbe connettersi (potrebbe falsificarsi il suo indirizzo IP usando un relay di tor o socks ma questo va oltre lo scopo di questa risposta).
Puoi anche usare nmap per trovare porte aperte sul tuo computer. Ma a volte, alcune backdoor usano il knock knock (aspettano pacchetti specifici con un particolare flag abilitato per esempio) da nascondere (SAdoor usa questo).
Puoi anche eseguire i comandi chkrootkit e rkhunter sul tuo sistema. Ma non rileverà le backdoor ottimizzate.
Puoi ottenere altri consigli utili sul cheatsheet qui: link
C'è una cosa veramente DAVVERO semplice da fare per capire se si tratta di un problema tecnico o di un accesso remoto. Se si verifica regolarmente, scollegare semplicemente il computer dalla rete la volta successiva che si verifica. Verifica se il movimento continua o è terminato. Se mai accade mentre è disconnesso, è un problema tecnico. Se si interrompe costantemente quando si disconnette la rete, probabilmente vorrai esaminare le cose più da vicino.
Leggi altre domande sui tag remote-desktop ids