Intruso en mi ordenador II

Imagen de ocp
ocp
0 puntos

Buenas a todos, y enhorabuena por este fantastico foro.

Al tema:

Desde hace una temporada me desaparecen las contraseñas de mis cuentas de Hotmail, Gmail, Yahoo, Facebook...
De hecho, lo unico que me hacen es cambiar las contraseñas, ni siquiera me borran los correos, bueno si, puse una trampa con el nombre de la persona que creo que esta detras de trodo esto y la borraron por primera vez, desde el log de entradas de gmail tengo una IP de entrada que no es la mia.

Soy bastante cuidadoso y utlilizo:

- Google Chromium
- Contraseñas fuertes
- Cierro sesion de los sitios que entro
- No guardo contraseñas ni historial
- Uso Ubuntu 10.10

Hace 1 año que utilizo Ubuntu y es la primera vez que me ocurre, lo primero que hice al darme cuenta fue:
- Actualizar todo y cambiar todas las contraseñas a más fuertes
- No entrar desde ningun otro ordenador a estas cuentas, solo desde el mio, ni siquiera desde el movil
- Navegar en anonimo e instalar en Firefox NoScript
- Quitar los accesos directos del navegador, y solo entrar desde las paginas raiz de los sitios, siempre fijandome que empezase por https
- Solo entrar durante una semana en Gmail, otra semana solo en Hotmail otra solo en Yahoo, para ver si así era alguna de las cuentas la que tenia el problema de seguridad.
- Introducir las contraseñas desde OnBoard (Teclado virtual de Ubuntu) nunca teclearlas, ni copiar pegar.

Durante un par de meses parece que funcionó, pero hoy otra vez me han cambiado las contraseñas de dichas cuentas.
Mi conocimiento es muy bajo, pero he estado mirando por el foro y he visto el post "Intruso en mi ordenador" y he hecho lo que ponian en ese post, esto es:
- Reviso /var/log/auth.log y en la primera linea hay algo que me desconcierta, puede ser que se hayan creado un nuevo usuario en mi Ubuntu? Yo solo tengo mi cuenta (ocp2k) y en la primera linea pone algo de crearse un nuevo usuario:

Mar 27 09:55:21 ocp2k-EP45-UD3ZOTAC useradd[4006]: new user: name=kdm, UID=116, GID=65534, home=/home/kdm, shell=/bin/false
Mar 27 09:55:21 ocp2k-EP45-UD3ZOTAC usermod[4011]: change user 'kdm' password
Mar 27 09:55:22 ocp2k-EP45-UD3ZOTAC chage[4016]: changed password expiry for kdm

- Instalar ClamTk y pasarlo a todo el ordenador. (0 virus encontrados)
- Instalar Firestarter y ejecutarlo para que no comparta internet, aquí viene la primera duda:
Donde pone Red en el apartado dispositivos me aparecen eth0 (me imagino mi tarjeta de red) y otro que pone vboxne, tengo instalado Oracle Virtual Box emulando Win7 pero ahora mismo está apagado, el problema es que veo que hay actividad de unos poco Kb's.
- Instalar rkhunter y ejecutarlo, todo parece ok hasta que me salen un par de warnings:

[09:34:34] Performing filesystem checks
[09:34:34] Info: Starting test name 'filesystem'
[09:34:34] Info: SCAN_MODE_DEV set to 'THOROUGH'
[09:34:34]   Checking /dev for suspicious file types         [ Warning ]
[09:34:34] Warning: Suspicious file types found in /dev:
[09:34:34]          /dev/shm/pulse-shm-2678274349: data
[09:34:34]          /dev/shm/pulse-shm-3808038993: data
[09:34:34]          /dev/shm/pulse-shm-4075398623: data
[09:34:34]          /dev/shm/pulse-shm-1753476093: data
[09:34:34]   Checking for hidden files and directories       [ Warning ]
[09:34:34] Warning: Hidden directory found: /etc/.java
[09:34:34] Warning: Hidden directory found: /dev/.udev
[09:34:34] Warning: Hidden directory found: /dev/.initramfs
[09:34:46]
[09:34:46] Info: Test 'apps' disabled at users request.

Alguien me puede ayudar?
Gracias de antemano, un saludo.

Imagen de Capa
+1
0
-1

Te cambian la contraseña? Y cómo vuelves a entrar en tu cuenta? Utilizando alguna opción de restauración de contraseñas?

GMAIL (desconozco los otros correos) tiene una opción EXCELENTE para detectar intrusos. Un historial de accesos a tu cuenta GMAIL, indicando hora, tipo de navegador, e IP.

Entras en GMAIL y abajo de todo, aparece una opción que dice "Detalles" (o algo parecido). Al entrar en Detalles te aparecerá información de los accesos que ha tenido esa cuenta.

+1
0
-1
Imagen de ocp
+1
0
-1

Hola Capa gracias por responder.

En efecto, me cambian contraseña y las recupero gracias a la pregunta de seguridad y al envio de codigo de recuperacion al movil mediante sms. Me parece raro que al entrar en estas cuentas, no cambien esto, porque si cambiasen las preguntas de seguridad y el movil no podria volver a recuperarlas.

Como bien dices, en el detector de intrusos puedo ver la IP del intruso que ha tenido acceso, pero, y ahora que?

Como puedo prevenir esto, será Ubuntu? Puedo denunciar esto a la policia? Que hago?

Gracias

+1
0
-1
Imagen de Capa
+1
0
-1

Pues teniendo su IP puedes recurrir a las autoridades y denunciar el caso.
Ellos se encargarán de comprobar a nombre de quién está esa IP.

+1
0
-1
Imagen de arriero
+1
0
-1

Si esas cuentas no son muy importantes mandar a todos los contactos un aviso del por que y abandonarlas, sustituyéndolas por unas nuevas.
Después de eso, no dejar ningún rastro, en ningún ordenador ajeno de passports y logins.
Llevarlas apuntadas en un agenda pequeñita, por el tema de memoria, no usar el mismo passport y login para todas las cuentas.
Ademas de borrar toda señal de tus passport y logins. Cuando uses ordenadores ajenos, borrar todas las contraseñas y caches del navegador, antes de abandonar el puesto.

+1
0
-1

Si reparas tu problema, añade(Solucionado)en el asunto de tu primer post, así es mas fácil para el que busca después.Mi Blog

Imagen de christiancandanga
+1
0
-1

Yo creo que es alguien que te conoce bien y que puede responder tu pregunta secreta, ya que cuando respondes bien dicha pregunta secreta te da un nuevo password, de otra manera veo RIDICULO que cada vez que esa persona checa tu correo cambie la contraseña, porque es obvio que tú te vas a dar cuenta que él ingreso, además dicha persona no cambia la pregunta secreta pudiendo hacerlo ya que tuvo acceso al sistema, es decir que de antemano sabe que tú podras volver entrar.

Es alguien que te conoce, cambia tu pregunta secreta, un hacker dudo lo sea, no estaría cambiandote tu contraseña para que te des cuenta, simplemente entraría, vería todo y ni cuenta te darías.

Y si es una persona que te quiere afectar, cambiaría la configuración, tu telefono, tu pregunta secreta, todo, así no tendrías forma de ingresar de nuevo, o te borraría todo.

P.D. Las preguntas secretas son un chiste, a veces son preguntas como...¿Cual es el nombre de tu superheroe de la infancia? ¿Cual fue el nombre de tu primero perro? ¿Donde conociste a tu esposa? Seguro es alguien que te conoce.

+1
0
-1
Imagen de ocp
+1
0
-1

Gracias Christiancandanga, en efecto se que es una "persona" que me conoce, alguien despechado, he repasado las preguntas de seguridad y en todas tenia la misma y muy obvia por alguien de mi entorno, veremos si ahora esta todo ok. de todas maneras que pasa con esto que me sale en el rkhunter?

Warning: Suspicious file types found in /dev:
[09:34:34]          /dev/shm/pulse-shm-2678274349: data
[09:34:34]          /dev/shm/pulse-shm-3808038993: data
[09:34:34]          /dev/shm/pulse-shm-4075398623: data
[09:34:34]          /dev/shm/pulse-shm-1753476093: data

De paso he instalado el ChkRootkit y los resultados son OK.

Un saludo

+1
0
-1