มัลแวร์ที่เรียกใช้โดยผู้ใช้ที่ไม่มีสิทธิ์ของผู้ดูแลระบบหรือ sudo เป็นอันตรายต่อระบบของฉันหรือไม่? [ปิด]

30

หลังจากหยุดพักการทำงานของเครื่องลีนุกซ์เมื่อเร็ว ๆ นี้ฉันพบไฟล์ปฏิบัติการในโฟลเดอร์โฮมของผู้ใช้ที่มีรหัสผ่านไม่รัดกุม ฉันทำความสะอาดสิ่งที่ดูเหมือนจะเป็นความเสียหายทั้งหมด แต่ฉันกำลังเตรียมการเช็ดแบบเต็มเพื่อให้แน่ใจ

มัลแวร์ที่ดำเนินการโดยผู้ใช้ที่ไม่ใช่ sudo หรือผู้ด้อยโอกาสสามารถทำอะไรได้บ้าง มันเป็นเพียงการมองหาไฟล์ที่ทำเครื่องหมายด้วยการอนุญาตให้โลกเขียนเพื่อติดไวรัส? ผู้ใช้ที่ไม่ใช่ผู้ดูแลระบบสามารถทำสิ่งที่คุกคามในระบบ Linux ส่วนใหญ่ได้อย่างไร คุณสามารถให้ตัวอย่างของปัญหาในโลกแห่งความจริงการละเมิดความปลอดภัยประเภทนี้อาจทำให้เกิด?

security  malware 
ezgoodnight
แหล่งที่มา
14
มันสามารถทำอะไรก็ได้ที่คุณสามารถทำได้ในฐานะผู้ใช้ที่ไม่มีสิทธิพิเศษซึ่งอาจมีหลายสิ่งหลายอย่าง
Faheem Mitha
1
ขึ้นอยู่กับการตั้งค่าของคุณและหากเครื่องได้รับการดูแลอย่างดี มันมีตั้งแต่การส่งมัลแวร์หรือเป็นส่วนหนึ่งของบ็อตเน็ตตั้งแต่การเพิ่มสิทธิ์การทำทุกอย่างและการประนีประนอมเครื่องและความปลอดภัยของเครือข่ายของคุณ
Rui F Ribeiro
9
หากมัลแวร์มีความซับซ้อนเพียงพอก็สามารถใช้ช่องโหว่เพื่อเข้าถึงรูทได้ ระบบที่ถูกละเมิดจะต้องถูกพิจารณาว่าใช้งานไม่ได้อย่างสมบูรณ์และควรออฟไลน์ทันที
Runium
2
หมายเหตุ: โดยปกติแล้วการหาประโยชน์จะไม่ได้ใช้งานเป็นเวลาหลายเดือน ผู้ใช้จะขายความสามารถในการทำสิ่งที่ไม่ดีให้กับผู้อื่น
Giacomo Catenazzi
5
การเพิ่มระดับสิทธิ์ในท้องถิ่นaccess.redhat.com/security/cve/CVE-2016-0728
Jeff Schaller

คำตอบ:

29

ผู้ใช้ปกติส่วนใหญ่สามารถส่งจดหมายดำเนินการระบบสาธารณูปโภคและสร้างซ็อกเก็ตเครือข่ายฟังพอร์ตที่สูงขึ้น ซึ่งหมายความว่าผู้โจมตีสามารถ

  • ส่งสแปมหรือฟิชชิ่งเมล
  • ใช้ประโยชน์จากการกำหนดค่าผิดพลาดของระบบที่มองเห็นได้จากภายในระบบเท่านั้น (คิดว่าไฟล์คีย์ส่วนตัวที่มีสิทธิ์การอ่านที่อนุญาต)
  • ตั้งค่าบริการเพื่อกระจายเนื้อหาโดยพลการ (เช่น porn torrent)

สิ่งนี้หมายถึงอะไรขึ้นอยู่กับการตั้งค่าของคุณ เช่นผู้โจมตีสามารถส่งจดหมายที่ดูเหมือนว่ามาจาก บริษัท ของคุณและใช้ชื่อเสียงของเซิร์ฟเวอร์อีเมลในทางที่ผิด; มากยิ่งขึ้นหากคุณสมบัติการตรวจสอบสิทธิ์อีเมลเช่น DKIM ได้รับการตั้งค่า สิ่งนี้จะทำงานได้จนกว่าตัวแทนของเซิร์ฟเวอร์ของคุณจะเสียสีและเมลเซิร์ฟเวอร์อื่น ๆ จะเริ่มขึ้นบัญชีดำ IP / โดเมน

ไม่ว่าจะด้วยวิธีใดการกู้คืนจากข้อมูลสำรองเป็นตัวเลือกที่เหมาะสม

tarleb
แหล่งที่มา
17
ผู้โจมตีสามารถเข้ารหัสข้อมูลผู้ใช้ทั้งหมดและต้องการการชำระเงินเพื่อรับรหัสส่วนตัวสำหรับมัน
Ferrybig
1
@Ferrybig พวกเขาสามารถเข้ารหัสรุ่นปัจจุบันเท่านั้นไม่ใช่การสำรองข้อมูล คำถามจะกลายเป็นสิ่งนี้: ชุดแบ็คอัพไม่ว่างเปล่าหรือไม่?
PyRulez
เราทุกคนรู้คำตอบปกติสำหรับคำถามนั้น @PyRulez: O
TheBlastOne
การส่งอีเมลจากเซิร์ฟเวอร์บ่งบอกว่าคุณสามารถใช้ที่อยู่อีเมล @ โดเมนของคุณในลักษณะที่แตกต่างมากกว่าการใช้เซิร์ฟเวอร์ที่ไม่เกี่ยวข้องอย่างสมบูรณ์หรือไม่?
23013
1
@ user23013 ไม่จำเป็น แต่มีหลายระบบ Postmasters สามารถตั้งค่าเทคโนโลยีเช่นSPF , DKIMและDMARCซึ่งทำให้เซิร์ฟเวอร์ระยะไกลสามารถตรวจสอบความถูกต้องของจดหมายขาเข้าได้ จดหมายบางฉบับ (เช่น Gmail) เสนอตัวเลือกเพื่อเน้นจดหมายที่ผ่านการตรวจสอบความถูกต้องแล้ว ผู้โจมตีอาจใช้วิธีนี้ส่งอีเมลฟิชชิ่งที่น่าเชื่อถือ
tarleb
19

ส่วนใหญ่ของคำตอบที่หายไปสองคำสำคัญ: การเพิ่มสิทธิ์

ผู้โจมตีรายหนึ่งสามารถเข้าถึงบัญชีที่ไม่มีสิทธิได้ง่ายขึ้นสำหรับพวกเขาในการใช้ประโยชน์จากข้อบกพร่องในระบบปฏิบัติการและห้องสมุดเพื่อรับสิทธิ์การเข้าถึงระบบ คุณไม่ควรสันนิษฐานว่าผู้โจมตีใช้การเข้าถึงแบบไม่ได้รับสิทธิพิเศษที่พวกเขาได้รับมา แต่เดิม

David Richerby
แหล่งที่มา
2
ฉันรอโพสต์เพื่อดูว่ามีใครสังเกตเห็นความเสี่ยงที่แท้จริงนี้ Buffer overflows เพื่อนตลอดกาลของ malcreants ทั้งหมด lol คุณควรมีมากกว่า 1 บวกเพราะนี่เป็นความเสี่ยงที่แท้จริงไม่ใช่สปายแวร์ระดับผู้ใช้ซึ่งน่ารำคาญ แต่ก็เกี่ยวกับเรื่องนี้ การเพิ่มระดับสิทธิ์นำไปสู่การติดตั้งรูทคิทนำไปสู่เครื่องที่เป็นเจ้าของโดยสิ้นเชิง
Lizardx
15

rm -rf ~สิ่งหนึ่งหรือหลายอย่างจะเป็นหายนะและคุณไม่ต้องการสิทธิ์พิเศษ

joH1
แหล่งที่มา
15
เรียนผู้ใช้ UNIX ใหม่อย่าลองใช้! (มันจะลบไฟล์ส่วนตัวของคุณ)
อัล
1
ตรงตามที่ AL พูด rm -rf /ปลอดภัยกว่ามาก (jk ไม่ทำมันฆ่าทุกอย่าง: urbandictionary.com/define.php?term=rm+-rf+%2F. )
PyRulez
12

ransomware

มันใช้ไม่ได้กับสถานการณ์ของคุณเนื่องจากคุณจะสังเกตเห็นได้ แต่สำหรับการโจมตี ransomware ที่เป็นที่นิยมในปัจจุบัน (การเข้ารหัสเอกสารทั้งหมดของคุณและการเสนอขายคีย์ถอดรหัส) นั้นเพียงพอที่จะเข้าถึงแบบไม่มีสิทธิ์

มันไม่สามารถปรับเปลี่ยนไฟล์ระบบได้ แต่โดยทั่วไปการสร้างระบบใหม่นั้นเป็นเรื่องง่ายเมื่อเทียบกับการกู้คืนข้อมูลผู้ใช้ที่มีค่า (เอกสารทางธุรกิจ, รูปภาพครอบครัว ฯลฯ ) จากการสำรองข้อมูลที่มักจะล้าสมัยหรือไม่มีอยู่

Peteris
แหล่งที่มา
11

พบมากที่สุด (ใน POV ของฉันจากประสบการณ์ของฉัน):

  • กำลังส่งสแปม

  • ส่งสแปมเพิ่มเติม

  • ติดคอมพิวเตอร์เครื่องอื่น

  • ตั้งค่าไซต์ฟิชชิ่ง

  • ...

Giacomo Catenazzi
แหล่งที่มา
2
คุณลืมสแปมเพิ่ม
Autar
4

ไวรัสสามารถทำให้เครื่องทั้งหมดในเครือข่าย LAN ของคุณและยกระดับสิทธิ์ในการเข้าถึงรูทwiki-Privilege_escalation

การเพิ่มสิทธิพิเศษเป็นการกระทำที่ใช้ประโยชน์จากข้อบกพร่องการออกแบบข้อบกพร่องหรือการกำหนดค่าการกำกับดูแลในระบบปฏิบัติการหรือแอปพลิเคชันซอฟต์แวร์เพื่อให้เข้าถึงทรัพยากรที่ได้รับการป้องกันจากแอปพลิเคชันหรือผู้ใช้ตามปกติ ผลลัพธ์คือแอปพลิเคชันที่มีสิทธิ์มากกว่าที่ตั้งใจโดยผู้พัฒนาแอปพลิเคชันหรือผู้ดูแลระบบสามารถทำการกระทำที่ไม่ได้รับอนุญาต

GAD3R
แหล่งที่มา
0

ความเป็นไปได้ที่เป็นไปได้มากมายอยู่ในใจของฉัน:

  • การปฏิเสธบริการ: อาจเป็นไปได้ที่เครื่องของคุณหรือมีโอกาสมากขึ้นใช้เครื่องของคุณเพื่อโจมตีเครื่องที่สองในราคาทรัพยากรของคุณเอง
  • เหมือง bitcoins การใช้ซีพียูของคุณในการรับเงินนั้นค่อนข้างมากพอสมควร
  • หากเบราว์เซอร์มีช่องโหว่พวกเขาจะพยายามเปลี่ยนเส้นทางคุณไปยังเว็บไซต์ทุกประเภทติดตั้งบาร์หรือแสดงป๊อปอัปที่จะทำให้พวกเขามีรายได้ โชคดีที่สิ่งนี้ดูเหมือนยากขึ้นใน Linux หรือสแปมเมอร์ไม่ดีเท่านี้
  • รับข้อมูลส่วนตัวเพื่อใช้ในเชิงพาณิชย์และขายให้ผู้อื่น สำหรับผู้ใช้ที่ถูกโจมตีเท่านั้น: วันเดือนปีเกิด, โทรศัพท์, ถ้าอยู่ในเบราว์เซอร์คาเฟ่
  • เข้าถึงไฟล์อื่น ๆ ในเซิร์ฟเวอร์ที่สามารถอ่านได้
  • สร้างสคริปต์ที่เป็นอันตรายที่อาจขอรหัสผ่านรูท ตัวอย่างเช่นใน bash ของคุณพวกเขาอาจพยายามเปลี่ยนเส้นทาง sudo ไปยังสิ่งอื่น ๆ เพื่อรับรหัสผ่านของคุณ
  • รับรหัสผ่านที่จัดเก็บไว้ในเบราว์เซอร์หรือพยายาม keylog ของธนาคารของคุณ นี่อาจจะยากกว่านี้ แต่แน่นอนจะเป็นอันตราย ด้วย gmail พวกเขาอาจได้รับ facebook, ขโมยบัญชีของคุณ, amazon, ฯลฯ
  • ติดตั้งใบรับรองอันตรายที่ถูกต้องสำหรับผู้ใช้ของคุณ

แน่นอนว่านี่เป็นสถานการณ์กรณีที่เลวร้ายยิ่งกว่าดังนั้นอย่าตกใจ สิ่งเหล่านี้อาจถูกบล็อกโดยมาตรการความปลอดภัยอื่น ๆ และจะไม่น่ารำคาญเลย

borjab
แหล่งที่มา
0

ข้อมูล[1]

IMHO หนึ่งในสิ่งที่น่ากลัวที่สุดที่การหาประโยชน์สามารถทำได้คือการรวบรวมข้อมูลและยังคงซ่อนตัวเพื่อกลับมาโจมตีเมื่อความสนใจของคุณลดลง (ในแต่ละคืนหรือช่วงวันหยุดจะเหมาะสม)
ต่อไปนี้เป็นเพียงเหตุผลแรกที่เกิดขึ้นในใจของฉันคุณสามารถเพิ่มผู้อื่นและคนอื่น ๆ ...

  • ข้อมูลเกี่ยวกับบริการที่คุณใช้งานเวอร์ชันและจุดอ่อนของบริการเหล่านั้นด้วยความใส่ใจเป็นพิเศษกับบริการที่ล้าสมัยซึ่งคุณอาจจำเป็นต้องมีชีวิตอยู่ด้วยเหตุผลด้านความเข้ากันได้
  • ช่วงเวลาที่คุณอัพเดตและแพตช์ความปลอดภัย นั่งข้างหน้ากระดานข่าวและรอช่วงเวลาที่เหมาะสมเพื่อพยายามกลับมา
  • นิสัยของผู้ใช้ของคุณจะเพิ่มขึ้นผู้ต้องสงสัยน้อยเมื่อมันจะ
  • การป้องกันที่คุณตั้งค่า
  • หากได้รับแม้กระทั่งการเข้าถึงรากบางส่วนSSH คีย์ , เจ้าภาพผู้มีอำนาจและรหัสผ่านในนี้และเครื่องอื่น ๆ สำหรับผู้ใช้แต่ละคน (ขอคนสมมติว่าดำเนินการคำสั่งด้วยรหัสผ่านที่ผ่านมาเป็นพารามิเตอร์มันไม่จำเป็นแม้แต่สิทธิ์ราก a) มันเป็นไปได้ที่จะสแกนหน่วยความจำและดึงมันออกมา ฉันพูดอีกครั้ง: ทั้งสองวิธีไปยังเครื่องของคุณและจากเครื่องของคุณ ด้วยการอนุญาตแบบ 2 ด้าน ssh ระหว่างเครื่องสองเครื่องพวกเขาสามารถตีกลับเข้าและออกจากบัญชีที่ถูกบุกรุกได้อย่างต่อเนื่อง

ดังนั้นให้แบนเครื่องนั้นและตรวจสอบรหัสผ่านและกุญแจในอนาคตด้วยเหตุผลเหล่านี้ด้านบนและรหัสอื่น ๆ ทั้งหมดที่คุณสามารถอ่านได้จากคำตอบอื่น ๆ

[1] การอ้างอิงไม่ใช่ตัวอักษร Hitchcock: "ปืนหนึ่งนัดใช้เวลาครู่หนึ่ง แต่มือที่ถืออาวุธสามารถใช้งานได้นานเต็มจอ"

แฮสเธอร์
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.