¿Intruso en mi ordenador?

Imagen de mariocebolla
0 puntos

Hola, me gustaría saber si alguien me puede ayudar con este problema ya que no encuentro nada por Google. Resulta que esta tarde encendí el ordenador y me fui, cuando volví, me encontré con que estaba el firefox abierto con esto en la barra de dirección:

%systemroot%\system32\cmd.exe

y también estaba arrancado la maquina virtual de windows xp.
Todo hace pensar que alguien ha accedido a mi ordenador, pero ¿como? y ¿que puedo hacer para solucionarlo?

Muchas gracias de antemano.

Un saludo.

Imagen de fernanchel
+1
0
-1

Primero que todo, revisa las entradas en tu ordenador:

/var/log/auth.log

comprueba si son correctas o alguna es extraña o sorprendente.

Después instala desde el Synaptic el paquete rkhunter

Si en una terminal tecleas:

man rkhunter

verás las distintas opciones que puedes utilizar (update, check, etc)

Ejecútalo desde una terminal

sudo rkhunter --checkall

para un escaneo exhaustivo y observa en los resultados si hay advertencias o posibles amenazas de rootkits o troyanos

Ah, me olvidaba. Lo que te he indicado sería para utilizarlo en condiciones preventivas. Si hay una sospecha fundada de que un troyano ha invadido nuestro ordenador, lo más aconsejable es que arranques con el LiveCD de Ubuntu, instales rkhunter en la propia sessión live y escanees desde allí la partición afectada de tu disco duro, guardando el resultado. Así estaremos seguros de que el troyano no interfiere con rkhunter.

Un saludo

+1
0
-1
Imagen de mariocebolla
+1
0
-1

Hola Fernanchel, gracias por responder. Instale el programa que me comentastes y el resumen final es el siguiente:

System checks summary
[21:47:32] =====================
[21:47:32]
[21:47:32] File properties checks...
[21:47:32] Files checked: 132
[21:47:32] Suspect files: 0
[21:47:32]
[21:47:32] Rootkit checks...
[21:47:32] Rootkits checked : 245
[21:47:32] Possible rootkits: 0
[21:47:32]
[21:47:32] Applications checks...
[21:47:32] All checks skipped
[21:47:33]
[21:47:33] The system checks took: 1 minute and 58 seconds

me salen dos warnings que son los siguientes:

Performing filesystem checks
[21:47:23] Info: Starting test name 'filesystem'
[21:47:23] Info: SCAN_MODE_DEV set to 'THOROUGH'
[21:47:24] Checking /dev for suspicious file types [ Warning ]
[21:47:24] Warning: Suspicious file types found in /dev:
[21:47:24] /dev/shm/pulse-shm-2951111621: data
[21:47:24] /dev/shm/pulse-shm-2573099365: data
[21:47:24] /dev/shm/pulse-shm-633202176: data
[21:47:24] /dev/shm/pulse-shm-2872121466: data
[21:47:24] /dev/shm/pulse-shm-309983980: data
[21:47:24] Checking for hidden files and directories [ Warning ]
[21:47:24] Warning: Hidden directory found: /etc/.java
[21:47:24] Warning: Hidden directory found: /dev/.udev
[21:47:24] Warning: Hidden directory found: /dev/.initramfs

¿son importantes?, yo la verdad es que estoy muy perdido en este tema y no se como interpretar estos datos.

Un saludo.

+1
0
-1
Imagen de fernanchel
+1
0
-1

En cuanto a la última parte, la de los directorios ocultos, son bastante comunes. A mí también me los da. No les doy mucha importancia.

Lo de los archivos sospechosos en /dev, se trata realmente de datos. No sé exactamente qué contienen. Habrá que tenerlos en observación en los próximos escaneos.

¿has comprobado las entradas en /var/log/auth.log a ver si todo está correcto?

También sería interesante que si no lo tienes instalaras el Firestarter. Es una interfaz para el firewall de Ubuntu. Desde allí podrás examinar los puertos que tienes abiertos y el tráfico entrante y saliente, para ver si hay alguna comunicación anormal.

Ten en cuenta que el principal seguro para tu ordenador eres tú mismo, estableciendo una contraseña robusta, controlando en qué sitios de internet te metes, qué archivos descargas, etc...

+1
0
-1
Imagen de mariocebolla
+1
0
-1

Gracias de nuevo fernanchel, mire en su momento /var/log/auth.log y no vi nada raro, o por lo menos con mis conocimientos. Probare con Firestarter como has comentado haber si encuentro algo. Por cierto no se si tiene que ver pero creo que todo empezó desde que instale no-ip para poder acceder al ordenador fuera de la red local, no estoy seguro.

Un saludo.

+1
0
-1