"Buenas" tardes,
Esta mañana me ha dado el día un chino cabrón. Se me ha colado en mi querida Debian 8 usando el teamviewer .
En mi trabajo, yo soy el único que toca el ordenador, mi jefe es alérgico a la tecnología, y como hoy en día todo hay que hacerlo desde un pc, y en muchas ocasiones no me encuentro físicamente allí, se me ocurrió instalar el teamviewer para conectarme remotamente desde el móvil y la tablet cuando hiciera falta.
Pues, sobre las 12, cuando he vuelto de una salida, me he encontrado el típico mensaje "TEAMVIEWER: Sesión patrocinada";... osea, habia habido una sesion y yo no habia sido. Pero yo que se.. digo, mi jefe, que solo sabe hacer click sobre el navegador para ver las noticias que tiene como pagina de inicio, le habra dado sin querer sobre el icono del Teamviewer y habra activado algo. Me voy a comer y sigo dandole vueltas, algo huele mal.
Así que al volver, me pongo a revisar el log y me encuentro con una conexion desde China(113.13.97.223), que por supuesto no he sido yo, de unos dos minutos de duración. Se me han puesto los pelos como escarpias; he cerrado el programa, he cambiado la contraseña a una muy fuerte(tenia una fuerte, 8 caracteres alfanumericos) y estoy aqui acojonaito.
Y me he puesto a buscar informacion y lo unico que he encontrado es esto; alguien sabe algo de esto?, es decir, estoy tras un router que me hace de firewall, y el nat estatico que tengo es solo el 80 hacia un apache que tengo para programa de facturación. Así que no me ha atacado directamente, sin no que lo ha hecho mediante el servidor de team. ¿Hay algun problema de seguridad en los servidores teamviewer?
Estaba iniciada la sesion del usuario, nada de root ni administrador, aunque tiene permiso para sudo, pero necesita la pass. Y ahora viene lo que necesito de algun fiera de Linux, que se que los hay por aquí; mis conocimientos de redes/linux/... son los de un usuario medio, nada de avanzados ni sysadmin ni nada eso. Y necesito que alguien me oriente sobre donde mirar, que logs tendria que examinar para saber si me ha colado "otro" troyano(aparte del que tenia yo puesto-teamviewer), o si ha hecho alguna otra cosa.
Gracias de antemano.
Pd: he comprobado que ha hecho 3 conexiones de unos dos minutos cada una durante toda la mañana.
713367771 Radiadores 01-04-2016 09:55:29 01-04-2016 09:57:43 radiadores RemoteControl {F75C3A0F-F03C-4586-8E27-39AA08360116}
649934698 Radiadores 01-04-2016 11:31:10 01-04-2016 11:31:37 radiadores RemoteControl {BDC9E0A6-22D6-476E-AF40-8A27A7F826D3}
más la que yo he detectado que ha sido a las 11:55 hasta la 11:57
ppd: si, tengo miedo y estoy muy triste :-((((