Accessi non eseguiti

[vitucciocaf]

Salve, vengo subito al punto: nel pomeriggio avevo acceso il pc, ho fatto quello che dovevo, e sono uscito per lavoro, lasciando il pc acceso perchè contavo di stare via poco (poi in realtà sono saltate più di due ore).

Quando torno mi rimetto al pc per inviare un preventivo ad una cliente e cercandolo tra i file recenti mi accorgo che vi erano file a cui era stato effettuato l'accesso.
ed erano accessi effettuati mentre non ero a casa: una decina alle 19.01, altri alle 19.02, e altri alle 19.14.

Come possiamo spiegarlo?

[vitucciocaf]

con rkhunter
File properties checks...
Required commands check failed
Files checked: 148
Suspect files: 1

Rootkit checks...
Rootkits checked : 365
Possible rootkits: 0

Applications checks...
All checks skipped

The system checks took: 29 minutes and 22 seconds

All results have been written to the log file: /var/log/rkhunter.log

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)

vito@vito-desktop:~$

[vitucciocaf]

Performing group and account checks
Checking for passwd file [ Found ]
Checking for root equivalent (UID 0) accounts [ None found ]
Checking for passwordless accounts [ None found ]
Checking for passwd file changes [ Warning ]
Checking for group file changes [ Warning ]
Checking root account shell history files [ None found ]

Performing system configuration file checks
Checking for an SSH configuration file [ Not found ]
Checking for a running system logging daemon [ Found ]
Checking for a system logging configuration file [ Found ]
Checking if syslog remote logging is allowed [ Not allowed ]

Performing filesystem checks
Checking /dev for suspicious file types [ Warning ]
Checking for hidden files and directories [ Warning ]

[thece]

Che tipo di file sono stati acceduti? File di dati? File di sistema?

Quando torno mi rimetto al pc per inviare un preventivo ad una cliente e cercandolo tra i file recenti mi accorgo che vi erano file a cui era stato effettuato l'accesso.
ed erano accessi effettuati mentre non ero a casa: una decina alle 19.01, altri alle 19.02, e altri alle 19.14.

Da quello che racconti sembrerebbe che qualcuno abbia acceduto con il tuo account localmente al tuo PC, effettuando l'accesso tramite il login manager (do per scontato che il tuo PC fosse acceso ma bloccato).
Ti sei accorto dell'accesso esattamente da che cosa? Dalla history di quale applicazione? Hai riportato delle tracce orarie piuttosto precise.

Chi ha accesso al tuo PC oltre a te? Chi era in ufficio / casa?

Hai controllato gli ultimi accessi al tuo sistema?

Codice: Seleziona tutto

last
lastlog

Il tuo PC espone un qualche servizio in LAN oppure su Internet? Qualche servizio di Desktop Remoto? TeamViewer?

Prima di saltare alla meno probabile conclusione del rootkit prova ad indagare scenari più semplici.

[vitucciocaf]

Grazie per la risposta e scusa il ritardo, ma purtroppo ho avuto alcuni gravi problemi.
Riepilogando: la casa era vuota; gli accessi a cui mi riferisco li ho notati richiamando i file per mandare una mail, quindi la finestra attiva.
I file erano di tipo personale: fatture, rendicontazioni, foto ecc..
Spero di essere riuscito ad aggiungere il file istantanea che feci, dal quale si vedono gli accessi.

[vitucciocaf]

Vorrei aggiungere l'istantanea della finestra da dove si evincono gli accessi ma non riesco. è colpa mia o non è possibile farlo?

[thece]

E' possibile farlo: o usi la funzionalità "Invia allegato", sotto il riquadro di scrittura, a sinistra, ma c'è un limite sulla dimensione del file allegabile, oppure usi un qualunque servizio di hosting per immagini e poi posti qui sul Forum il link all'immagine.