Hallo!

Vor geraumer Zeit hat mir ein Freund Linux auf meinem Rechner eingerichtet - weil es sicherer ist. Nun musste ich gestern feststellen, dass er Ordner auf meinem Rechner in meiner Abwesenheit geöffnet hat. Gemerkt habe ich das, als ich ein Dokument speicherrn wollte und mir die zuletzt geöffneten Ordner mit Datum und Uhrzeit angezeigt wurden.
Ich gehe davon aus, dass er Interesse an gelöschten Dokumenten hatte und ich weiß, dass er bereits gelöschte Dokumente wieder sichtbar machen kann.

Ich möchte gern nachvollziehen können, welche Dateien und Mails er sich angeschaut hat, um die Größe des Schadens einschätzen zu können (nur private oder auch berufliche, geheime Daten.) Kann mir jemand helfen und sagen, mit welchen Befehlen ich seinen Suchvorgang entweder nachvollziehen kann, bzw. die Dateien sichtbar machen kann, die er sich angeschaut hat.

Danke im Voraus

kommt drauf an, wie er sich auf Deinem Rechner eingeloggt hat und wie sorgfältig er dabei vorgegangen ist, seine Spuren zu verwischen.

Grundlegend: Solange physikalischer Zugriff auf das System gegeben ist, ist ohne Verschlüsselung kein System sicher.

kommt drauf an, wie er sich auf Deinem Rechner eingeloggt hat und wie sorgfältig er dabei vorgegangen ist, seine Spuren zu verwischen.

Grundlegend: Solange physikalischer Zugriff auf das System gegeben ist, ist ohne Verschlüsselung kein System sicher.


Ja ich weiß, da habe ich meinen Rechner nicht ausreichend geschützt. Nun ist das Kind in den Brunnen gefallen. Trotzdem nochmal: Kann man auch Daten wieder herstellen, die vor einem Monat gelöscht wurden oder sind nur aktuell gelöschte Mails und Dateien noch auf dem Rechner einseh- und reaktivierbar? Brauche wirklich dringend Hilfe!!!

Das hängt davon ab, wie gelöscht wurde, welches Dateisystem in Verwendung ist, wie viel seit dem auf dem Rechner gemacht wurde, um was für Daten es sich handelt, ...

Eine Diagonse aus der Ferne wird da schwer. Du könntest natürlich selbst versuchen, solche Dateien wiederherzustellen, das was Du dann wiederherstellen kannst ist auch das, was jemand anderes mit einem höheren Kentnisstand (das vermute ich einfach mal) wiederherstellen kann.

Du könntest natürlich selbst versuchen, solche Dateien wiederherzustellen..

Ja genau, das ist eine gute Idee. Nur leider sind meine Linux-Kenntnisse dafür überhaupt nicht ausreichend. Kannst du mir da weiterhelfen?

photorec, testdisc, extundelete, ... - google mal ein bisschen und suche hier im Forum, da dürftest Du das eine oder andere finden.

Du solltest aber wissen, was Du tust - es besteht die Chance, das System dabei zu töten, wenn man Fehler macht. Backup vorher wäre daher nicht verkehrt.

Sollte nicht erst einmal sichergestellt werden, dass kein weiterer Zugriff von außen erfolgen kann?

Du hast es ja offenbar über LibreOffice oder ein anderes Programm gemerkt, dass unter den zuletzt verwendeten Dokumenten nicht erwartete Dateien auftauchten. Das wiederum würde bedeutet, dass der Angreifer sich über deinen Benutzernamen eingeloggt hat. Also Passwort ändern und versuchen, wie das erfolgt ist. TeamViewer installiert? VNC? physischer Zugriff auf den Rechner?

Hi
Vielleicht war es ja dein Freund ?

Wenn er dir dein System drauf gesetzt hat, wird er auch die Passwörter kennen ( deins, root , eventuell noch ein User mit sudo rechten ) oder ?

Welche Distro hast du denn ??

Viele Angriffe werden mit Metasploit gemacht, da die "Hacker,Skriptkiddies" es nicht besser wissen oder können... Wenn dein System aktuell ist, brauchst du hier keine Angst haben...
Welche Services laufen standard mäßig ?? ( siehste mit nmap,netstat, lsof)

Wenn du hinter einem Router bist ( also kein DSL-modem) , kommt auch keiner so schnell rein ( außer du hast Portforwarding aktiviert ) ...

Backdoors nur wenn du Binarys oder Scripte dritter ausführbar gemacht hast und diese auch gestartet hast.

Backdoors kriegst du meistens per Email zb. Mail von Paypal klick mal hier auf link ( DrivebyInfection/DrivebyDownload ) oder öffne mal die Zip.

Wobei beim Öffnen unter Linux noch nicht viel passiert... (chmod +x!!!)

Der einfachste Weg wird sein, mal die logs zu lesen...vermutlich wirst du , wenn du recht hast, ein login via ssh feststellen...von deinem Kumpel:)

Grundsätzlich, wenn du Linux auf einem Heimpc nutz, schalte mal alle Services aus ( SSH erst recht !) und dann kommt auch keiner mehr drauf....

Alle passwörter ändern ....Gucken welche user es gibt, und ob alle auch eine Loginshell brauchen ....ggf. auf /bin/false setzen ..

Gute Anfänger Distro ist Ubuntu...wobei Anfänger hier nicht negativ bewertet werden sollte.. Einstieg ist einfach...Gute Wikis...freundlich Leute..keine Services...

-------
Lokalenzugriff via LUKS schützen...Gesamte Festplatte!! Passw. meiner Meinung nach min. 15 Zahlen,Zeichen,Buchstaben(klein+GROß)...

Denk aber auch daran. Sicherheit kostet immer : Entweder Zeit,Geld oder beides !!!
Wenn dein Rechner zu Hause steht, frag dich auch mal, wer in der Realität dort dran kommt ?



Viel Spaß

Nun, ich stelle auch deine Vorgangsweise einfach mal in Frage.

Damit du hier keinen Rufmord begehst, würde ich zuerst mal sicher stellen, dass Datum und Uhrzeit nicht von einem Recovery deiner (vermutlich Windows) Daten stammen, die beim Umzug gelitten haben. Die Liste der zuletzt geöffneten Dateien könnte genauso gut von einem Test stammen, ob die Wiederherstellung funktioniert hat und alle Daten da sind.

Nachdem dein Freund dir aus Sicherheitsgründen dein System eingerichtet hat, wirfst du ihm so lapidar nebenbei vor, dich auszuspionieren. Sehr komisch...

Rede mit deinem Freund!

Mir kommt es auch extrem schräg vor der eigenen Partnerin aus Sicherheitsgründen ein Linux System einzurichten um dann in ihren Daten rumzuschnüffeln. Nicht sehr plausibel, da wenn man ein System eingerichtet hat man automatisch in Verdacht gerät wenn dort etwas unerwartetes passiert.

Wie Sysop sagt: rede zuerst mal mit ihm.

Wenn du vertrauliche Daten auf dem PC hast sollten die verschlüsselt sein. Informiere dich bitte wie das geht.

Wenn jemand der sich mit Linux auskennt an Daten auf einem PC an den er physisch rankommt gelangen will ist das kein Problem wenn diese nicht verschlüsselt sind. Ob Windows oder Linux drauf läuft ist dann egal. Das geht dann auch einfach ohne Spuren zu hinterlassen. Daher empfehle ich dir auch den Grundsatz "im Zweifel für den Angeklagten".

Nun musste ich gestern feststellen, dass er Ordner auf meinem Rechner in meiner Abwesenheit geöffnet hat. Das weißt Du jetzt woher genau?


Gemerkt habe ich das, als ich ein Dokument speicherrn wollte und mir die zuletzt geöffneten Ordner mit Datum und Uhrzeit angezeigt wurden. Und das war jetzt welche Uhrzeit bzw. wie schließt Du von einer Uhrzeit auf deinen Freund?

Ich teile die Zweifel von sysop, ein paar ungewöhnliche Zeitstempel sagen noch rein gar nichts.


Ich möchte gern nachvollziehen...... ob der Rechner zu einem nicht von Dir genutzten Zeitraum eingeschaltet war? Dann kannst Du das mit dem Befehl last in einem Terminal prüfen. Doch selbst diese Ausgabe(n) musst du dann noch auf Plausibilität prüfen.

Gruß

Tom

Mal davon ab das auch ich denke, dass du das Gespräch suchen solltest. Denke die Voraussetzungen sind eher schlecht, klar du kannst mit "find -mtime -10 (http://www.cyberciti.biz/faq/howto-finding-files-by-date/)" und "undel" was versuchen...
Ansonsten, wenn du so einen Verdacht hast, kannst du natürlich auch gewisse Vorkehrungen treffen, ein wäre zB auditd (http://linux.die.net/man/8/auditd). Die Idee ist relativ einfach, man will alle Befehle inklusive der Argumente usw. protokollieren und genau das macht auditd und das einrichten ist wirklich kein Hexenwerk ;), mal die notwendigen Schritte:
# auditd installieren, bei meinem system - debian
apt-get install auditd
# nun installiert es, dann die regeln anpassen - config passt idr
edit /etc/audit/audit.rules
# letztlich diese zeile am ende einfügen
-a exit,always -F arch=b32 -S execve
# auditd neu starten
/etc/init.d/auditd restart
# auditd prüfen
/etc/init.d/auditd status
auditd.service - Security Auditing Service
Loaded: loaded (/lib/systemd/system/auditd.service; enabled)
Active: active (running) since So 2014-08-31 13:51:10 CEST; 1 months 20 days ago
Process: 315 ExecStartPost=/sbin/auditctl -R /etc/audit/audit.rules (code=exited, status=0/SUCCESS)
Main PID: 314 (auditd)
CGroup: /system.slice/auditd.service
└─314 /sbin/auditd -n
# regeln ausgeben
auditctl -l
-a always,exit -F arch=i386 -S execveSo landen alle Befehle im Log (wird bei mir in /etc/audit/auditd.conf eingestellt), welches dann etwa so aussieht (Befehl "ls -la"; plus ein bisschen Alias Magie):
type=SYSCALL msg=audit(1413849222.620:727): arch=40000003 syscall=11 success=yes exit=0 a0=8b6bfa8 a1=8cbcc88 a2=8c23208 a3=0 items=2 ppid=1523 pid=1606 auid=1000 uid=1000 gid=1000 euid=1000 suid=1000 fsuid=1000 egid=1000 sgid=1000 fsgid=1000 tty=pts2 ses=1 comm="ls" exe="/bin/ls" key=(null)
type=EXECVE msg=audit(1413849222.620:727): argc=3 a0="ls" a1="--color=auto" a2="-la"
type=CWD msg=audit(1413849222.620:727): cwd="/home/nopes"
type=PATH msg=audit(1413849222.620:727): item=0 name="/bin/ls" inode=1064516 dev=08:01 mode=0100755 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL
type=PATH msg=audit(1413849222.620:727): item=1 name=(null) inode=402080 dev=08:01 mode=0100755 ouid=0 ogid=0 rdev=00:00 nametype=NORMALSo hast du es jedenfalls wesentlich einfacher, was das "kontrollieren" angeht...

[EDIT]Wenn du ein 64 Bit System hast, dann ggf. auch noch bzw. stattdessen diese Zeile einfügen:
-a exit,always -F arch=b64 -S execve

Du hast dann also bis zu zwei Regeln, eine für 32 Bit und eine für 64 Bit, also:
-a exit,always -F arch=b32 -S execve
-a exit,always -F arch=b64 -S execve

Ggf. manuell testen, bevor du es in die "rules-Datei" schreibst:
auditctl -a exit,always -F arch=xyz -S execveDer bzw. die Befehle müssen ohne Murren und Knurren klappen, ansonsten nicht in die "rules-Datei" aufnehmen.

Nunja, die TE hat sich ihr Linux offenbar installieren lassen, mangels Kenntnissen bzw. Zeit/Lust sich einzuarbeiten. Glaubst du wirklich, dass sie weiß, was sie mit deinem Post anfangen soll?

ja und wenn nicht, dann halt nicht;)