Yönetici veya sudo ayrıcalıklarına sahip olmayan bir kullanıcı tarafından çalıştırılan kötü amaçlı yazılımlar sistemime zarar verebilir mi? [kapalı]

30

Linux çalıştıran bir makineye son girdikten sonra, bir kullanıcının giriş klasöründe zayıf bir parola bulunan yürütülebilir bir dosya buldum. Hasar gibi görünen şeyleri temizledim, ancak emin olmak için tam bir silme hazırlıyorum.

NON-sudo veya ayrıcalıklı olmayan bir kullanıcı tarafından çalıştırılan kötü amaçlı yazılım ne yapabilir? Sadece bulaşabilir dünyaya yazılabilir izne sahip olan dosyaları mı arıyor? Yönetici olmayan bir kullanıcı çoğu Linux sistemlerinde hangi tehdit edici şeyleri yapabilir? Bu tür güvenlik ihlallerinin neden olabileceği gerçek dünya sorunlarından bazı örnekler verebilir misiniz?

security  malware 
ezgoodnight
kaynak
14
Ayrıcalıklı olmayan bir kullanıcı olarak yapabileceğiniz her şeyi yapabilir, bu da birçok şey olabilir.
Faheem Mitha
1
Bu, kurulumunuza ve makinenin iyi durumda olup olmadığına bağlıdır. Yalnızca kötü amaçlı yazılım göndermekten veya bir botnet'in bir parçası olmaktan, ayrıcalıkları yükseltmekten, tüm bunları yapmaktan ve makinenin ve ağınızın güvenliğini tehlikeye atmak arasında olabilir.
Rui F Ribeiro,
9
Kötü amaçlı yazılım yeterince karmaşıksa, kök erişimi sağlamak için güvenlik açıklarından yararlanabilir. İhlal edilen bir sistem her zaman tamamen kırılmış olarak kabul edilir ve derhal çevrimdışı duruma getirilmelidir.
Runium
2
Not: Genellikle istismarlar aylarca etkin değildir. Sömürücü, başkalarına kötü şeyler yapma yeteneğini satacaktır.
Giacomo Catenazzi
5
Yerel ayrıcalık yükseltme access.redhat.com/security/cve/CVE-2016-0728
Jeff Schaller

Yanıtlar:

29

Çoğu normal kullanıcı posta gönderebilir, sistem yardımcı programlarını çalıştırabilir ve daha yüksek bağlantı noktalarında dinleyen ağ yuvaları oluşturabilir. Bu, bir saldırganın yapabileceği anlamına gelir

  • spam veya kimlik avı postaları göndermek,
  • Yalnızca sistem içinden görülebilen herhangi bir sistem yanlış yapılandırmasından yararlanın (izin verilen okuma izinlerine sahip özel anahtar dosyaları düşünün),
  • keyfi içeriği dağıtmak için bir servis kurun (örneğin porno torrent).

Bunun tam olarak anlamı, kurulumunuza bağlıdır. Örneğin, saldırgan şirketinizden gelen postaları gönderebilir ve sunucularınızın posta itibarını kötüye kullanabilir; DKIM gibi posta doğrulama özellikleri ayarlanmışsa daha da fazla. Bu, sunucunuzun temsilcisi etiketlenene ve diğer posta sunucuları IP / etki alanını kara listeye almaya başlayana kadar çalışır.

Her iki durumda da, yedekten geri yükleme doğru seçimdir.

tarleb
kaynak
17
Saldırgan tüm kullanıcıların verilerini şifreleyebilir ve bunun için özel anahtarı almak için bir ödeme talep edebilir
Ferrybig
1
@Ferrybig Onlar yedekleri değil, sadece geçerli sürümü şifreleyebilirsiniz. O zaman soru şu hale gelir: Yedekleme seti boş mu?
PyRulez
Hepimiz bu sorunun her zamanki cevabını biliyoruz, @ PyRulez: O
TheBlastOne
Bir sunucudan e-posta göndermek, etki alanınızdaki e-posta adreslerini tamamen alakasız bir sunucu kullanmaktan daha belirgin bir şekilde kullanabileceğinizi mi gösteriyor?
user23013
1
@ user23013 Zorunlu değil, ancak birçok sistemde var. Posta yöneticileri , uzaktaki sunucuların gelen postaların meşruiyetini doğrulamasını sağlayan SPF , DKIM ve DMARC gibi teknolojileri ayarlayabilir . Bazı posta gönderenler (örneğin, Gmail), bu şekilde doğrulanan postaları vurgulama seçeneği sunar. Bir saldırgan, görünüşte güvenilir kimlik avı e-postaları göndermek için bunu kötüye kullanabilir.
Tarleb
19

Cevapların çoğunda iki anahtar kelime eksik: ayrıcalık artışı .

Bir saldırganın imtiyazsız bir hesaba erişimi varsa, sisteme ayrıcalıklı erişim elde etmek için işletim sistemindeki ve kütüphanelerdeki hataları kullanmaları çok kolaydır. Saldırganın yalnızca ilk başta elde ettikleri ayrıcalıklı erişimi kullandığını varsaymamalısınız.

David Richerby
kaynak
2
Bu gerçek riski belirten birileri olup olmadığını görmek için yazı göndermeyi bekliyordum. Arabellek taşması, tüm kötülüklerin daimi dostu, lol. Artı 1'den daha fazlasına sahip olmalıydın, çünkü bu gerçek gerçek risk, bazı kullanıcı seviyeli casus yazılımlar değil, sinir bozucu ama bu konuda. Rootkit kurulumuna ve ayrıcalıklı bir makineye yol açan ayrıcalıklı yükseliş, sahnelerin arkasında mutlu bir şekilde çalışan esasen tespit edilemeyen istismarlar.
Lizardx
15

Bir rm -rf ~veya benzeri bir şey felaket olur ve kök ayrıcalıklarına ihtiyacınız yoktur.

joH1
kaynak
15
Sevgili UNIX yeni gelenleri, bunu denemeyin! (kişisel dosyalarınızı siler)
AL
1
Aynen AL'nın dediği gibi. rm -rf /çok daha güvenli (jk yapmayın. Her şeyi öldürür: urbandictionary.com/define.php?term=rm+-rf+%2F. )
PyRulez
12

Ransomware

Sizin durumunuz için geçerli değildir, çünkü farketmişsinizdir, ancak günümüzde biraz ransomware saldırıları (tüm dokümanlarınızı şifrelemek ve şifre çözme anahtarını satmayı teklif etmek), ayrıcalıksız erişimin olması tamamen yeterlidir.

Sistem dosyalarını değiştiremez, ancak genellikle sistemi sıfırdan yeniden oluşturmak, çoğu zaman eski veya var olmayan yedeklemelerden değerli kullanıcı verilerinin (işletme belgeleri, aile resimleri vb.) Kurtarılmasıyla karşılaştırıldığında basittir.

Peteris
kaynak
11

En yaygın (POV'mda, deneyimimden itibaren):

  • Spam gönderiliyor

  • Daha fazla spam gönderiliyor

  • Diğer bilgisayarlara virüs bulaştırmak

  • Kimlik avı sitelerini ayarlayın

  • ...

Giacomo Catenazzi
kaynak
2
Biraz daha spam unuttun.
Autar
4

Bir virüs, LAN ağınızdaki tüm makinelere bulaşabilir ve kök erişimini elde etmek için ayrıcalıkları yükseltebilir wiki-Privilege_escalation

Ayrıcalık yükseltme, bir uygulama veya kullanıcıdan normalde korunan kaynaklara yüksek erişim sağlamak için bir işletim sisteminde veya yazılım uygulamasında bir hata, tasarım hatası veya yapılandırma gözetiminden yararlanma eylemidir. Sonuç olarak, uygulama geliştiricisi veya sistem yöneticisi tarafından tasarlanandan daha fazla ayrıcalıklara sahip bir uygulama yetkisiz eylemler gerçekleştirebilir.

GAD3R
kaynak
0

Aklıma birçok potansiyel olasılık geliyor:

  • Hizmet reddi: makinenizde veya daha muhtemel olabilir, kendi kaynaklarınız pahasına ikinci bir saldırıya geçmek için makinenizi kullanın.
  • Mayın bitcoinleri. CPU'nuzu para almak için kullanmak yeterince çekici görünüyor
  • Tarayıcı savunmasızsa, sizi her tür siteye yönlendirmeye, çubuk takmaya veya onlara gelir sağlayacak pop-up göstermeye çalışacaklardır. Sonunda Linux'ta bu zor görünüyor veya spam gönderenler bu konuda iyi değiller.
  • Ticari kullanım için özel veriler alın ve başkalarına gönderin. Yalnızca tehlikeye giren kullanıcılar için: tarayıcı önbelleğinde ise doğum tarihi, telefon.
  • Sunucudaki okunabilir diğer dosyalara erişin.
  • Kök şifresini isteyebilecek kötü amaçlı komut dosyaları oluşturun. Örneğin, şifrenizde şifrenizi almak için sudo'yu diğer şeylere yönlendirmeye çalışabilirler.
  • Saklanan şifrelerinizi tarayıcıda alın veya banka kimlik bilgilerinizi tuşlamaya çalışın. Bu daha zor olabilir ama kesinlikle tehlikeli olacak. Gmail ile facebook alabilir, buhar hesabınızı, amazon vb.
  • Kötü amaçlı sertifikaları kullanıcılarınız için geçerli şekilde yükleyin.

Elbette bu daha kötü bir senaryodur, bu yüzden panik yapmayın. Bunlardan bazıları diğer güvenlik önlemleri tarafından engellenmiş olabilir ve önemsiz olmayacak.

borjab
kaynak
0

Bilgi [1]

IMHO, bir istismarın yapabileceği en korkutucu şeylerden biri, bilgi toplamak ve dikkatinin daha az olacağı bir zamanda geri gelmek ve grev yapmak için saklı kalmaktır (her gece veya tatil dönemi uygun olacaktır).
Aklımda ortaya çıkan ilk nedenler şunlardır, diğerleri ve diğerleri ekleyebilirsiniz ...

  • Çalıştığınız hizmetler , sürümleri ve zayıf yönleri hakkında bilgiler, uyumluluk nedenlerinden dolayı hayatta tutmanız gerekebilecek eski olanlara özellikle dikkat ederek.
  • Onları güncellediğiniz periyodiklik ve güvenlik düzeltme ekleri. Bir bültene oturmak ve geri gelmek için doğru zamanı bekleyin.
  • Kullanıcılarınızın alışkanlıkları , ne zaman olacağı konusunda daha az şüpheli olmak için.
  • Savunmaları yukarı ayarlayın.
  • Kısmi bir kök bile kazanılırsa, ssh-key'lere , yetkili ana makinelere ve bu ve diğer makinelerde bulunan şifrelere her kullanıcı için erişirse (diyelim ki bir parametre olarak geçirilen bir şifre ile root imtiyazına gerek yoktur). Belleği taramak ve çıkarmak mümkündü. Tekrar söylüyorum: her iki yönde de, makinene ve makinene. İki makine arasındaki 2 taraflı ssh yetkilendirmesiyle, tehlikeye atılan hesaptan girip çıkmaya devam edebilirler.

Bu nedenle makineyi düzleştirin ve yukarıda belirtilen nedenlerden ve diğer cevaplardan okuyabileceğiniz diğerlerinden dolayı gelecekteki şifreleri ve anahtarları izleyin.

[1] Tam anlamıyla değil Hitchcock'dan alıntı yapmak: "Silahın vurulması bir an sürer, ancak silah kullanan bir el tam bir film sürebilir"

Hastur
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.