несанкционированное подключение к рабочей станции

[Bars]

Вопрос к знатокам.
На комп друга кто-то подключается. Сначала мышка двигается аккуратно, потом внаглую этот кто-то начинает шариться по компу. При каких установленных на пк программах и по каким портам это можно сделать?

ОС Ubuntu desktop 13.04 amd64
комп за роутером.
управление раб.столом отключено
сканировали комп nmap:
- после ребута: все порты закрыты.
- при запуске торрент клиента Flush:
открываются порты 6000, 4433, 4434

Ранее была установлена прога Tor (удалена).
В логах ничего не нашли.
комп отключен от инета на тот случай, если остались следы.

Подскажите куда копать?

[fisher74]

Потерпите ещё недельку. 9-ого всё пройдёт, вместе с новогодним похмельем )))
Шутка.

А за роутером, в домашней сети, шутников нет?
Если на роутере никакие порты не проброшены, то соединение инициируется "клиентом". Из стандартных (GUI) я не знаю таких.
Я бы отпустил свою параною и максимально перекрылся средствами iptables

[Bars]

это не похмелье. Это 1й раз произошло недели 2 назад. Шутников нету, он живет один (иногда подруга приходит, но та без вариантов).
vnc и ssh -сервера и тимвьювер не установлены.


Единственный проброс это на ip-камеру, которую ему дал, чтобы он звякнул мне, когда это произойдет. Чтобы наглядно посмотреть на это чудо, т.к. не верил. И это чудо было.
Я попросил отключить в офф клаву и мышь (они беспроводные). Отключил, но мышка реально бегала. При чем при попытке отправить комп в ребут активно мешала.

Меня смущает порт: 6000 Х11. Гуглю в этом направлении.

Предистория:
линухой он пользуется месяц с небольшим, где-то он вычитал что с помощью Tor можно скрытно сидеть в инете. Установил ее. И через несколько дней началось. С установкой Тор, или еще чего-то в списках юзеров появились: mixmaster, debian-tor, openerp, privoxy, proxy.
Порекомендовал снести Tor и удалить юзеров и связанные с ними директории. Дней 10 была тишина, а сегодня опять прилетело.

Поэтому обратился на форум, может у кого-то было такое... Если кто-то что-то про это чудо света найдет - скиньте плиз ссылки.

[Lekssey]

А поставить проводные клаву и мышь и отключить беспроводное соединение в компьютере не пробовали?
Окно в комнате есть, чтобы через него монитор было видно?

[Bars]

проводных клаавы и мыши у него нету. Вариант совпадения беспроводных девайсов с соседями исключаю, т.к. мышь бегает целенаправленно: сначало был просмотр в Flush какие торренты качаются, какие в ожидании, потом было переключение на др. раб.стол (кста, использует среду Гном) и просмотр содержимого папок.
Копм к роутеру подключен проводом, вай-фай использует для мобильника. Роутер и вай-фай запаролены.
Копм стоит ~ в 2х метрах от окна(перпендикулярно).
Пользователь решил продолжить мысль 04 Января 2014, 15:52:25:попробую создать на виртуалке аналог компа друга и поэксперементировать. Если результат будет положительный - сообщу. Просьба к модератору: тему пока не закрывать.

нашел тему:
http://white55.ru/xubuntu.html

и если я правильно понял, данный случай реален:
http://unixforum.org/index.php?showtopic=49072

[fisher74]

Если за роутром, то любой открытый порт на компе, в том числе X-серверный - хрень полная.
Кстати, на роутере upnp включен? Выключайте, если "да".
Логиненная вафля - не повод для успокоения.

[Lekssey]

Доступ через wifi разрешен всем или только зарегистрированым МАСам?

[Spect]

"скрытно сидеть в инете".. С основной системы? Сомневаюсь.
Качните что-то типа либерте линух, выделите флеху, на нее разверните, юзайте в сессиях с нее.

[fisher74]

Качните что-то липа либерте линух, выделите флеху, на нее разверните, юзайте в сессиях с нее.

Не тактично как-то на форуме Ubuntu корябать про какой-то LiberteLinux, когда есть родной Ubuntu LiveUSB, а тои  LiveCD

[Spect]

Ну, "родной Ubuntu LiveUSB, а тои LiveCD" для целенаправленного лазания где-то без оставления следов и с повышенными средствами самозащиты не предназначен. Я не вижу ничего плохого в простом упоминании о наличии неких спецсредств - без их обсуждения и указания характеристик и особенностей - на форуме, посвященном ubuntu. Дистрибутив "человечности", имхо, не для этих целей, хотя, безусловно, выточить из него можно что угодно.

[fisher74]

Я без претензий )) Просто навеяло )))

[Spect]

Я когда-то давненько вычитал простейший файрволл

(Нажмите, чтобы показать/скрыть)

Создаем файл
sudo gedit /etc/init.d/firewall
========В нем текст
#!/bin/bash
iptables -F
iptables -X
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
========конец текста
        Делаем наш файл исполняемым:
sudo chmod +x /etc/init.d/firewall
        прописываем исполнение скрипта с правилами при загрузке:
sudo update-rc.d firewall defaults

есть наверное так с сотню полностью идентичных рецептов его, если погуглить, с каментами, что какая строка делает.
Имхо, для схемы "домашний комп без открытых наружу портов" вполне хватит? И для предотвращения озвученной ТС темы.
Возможно, я ошибаюсь? Было бы интересно мнение кого-то пограмотней. Я в иптаблес глубже вот этих команд не лазил.

[fisher74]

Я в первом же ответе предложил начать защиту по этому пути.
Если не совсем впадать в параною, то этой защиты вполне хватает. Правда за роутером - это сравнимо с причёсыванием лысины. Но наличие в локалке WiFi, хоть и запароленного, вносит свои коррективы в виде пробивающихся волосков )))

[Spect]

Да, вот это "за роутером" - как-то меня смутило. Впечатление, что "лазая по просторам" кому-то грамотному наступил на хвост и этот кто-то заинтересовался именно этой станцией. Я бы или позвал для анализа системы кого-то "грамотного" (себя не считаю) или просто и тупо, 100% переустановка с перебивкой хомяка (не копируя), хз чо там уже всунуто в скрипты и службы? А нонешний root+home сохранить для анализа.
Если отключено удаленное управление, и блокируются входящие запросы, и никто не успел в австостарты/конфиги подселиться - ну, тогда "не верю".

[serhy]

Кстати, на роутере upnp включен? Выключайте, если "да".

В протоколах UPnP и SSDP обнаружены дыры http://habrahabr.ru/post/168613/. Да и кроме UPnP в роутерах другой приблуды хватает, например ACL.