Po ostatniej włamaniu na maszynę z systemem Linux znalazłem plik wykonywalny w folderze domowym użytkownika ze słabym hasłem. Wyczyściłem wszystko, co wydaje się być wszystkimi uszkodzeniami, ale dla pewności przygotowuję pełne wyczyszczenie.
Co może zrobić złośliwe oprogramowanie uruchamiane przez użytkownika niebędącego sudo lub nieuprzywilejowanego użytkownika? Czy szuka tylko plików oznaczonych światowym prawem do infekcji? Jakie niebezpieczne rzeczy może zrobić użytkownik niebędący administratorem w większości systemów Linux? Czy możesz podać przykłady rzeczywistych problemów, jakie może powodować takie naruszenie bezpieczeństwa?
Odpowiedzi:
Większość zwykłych użytkowników może wysyłać pocztę, uruchamiać narzędzia systemowe i tworzyć gniazda sieciowe nasłuchujące na wyższych portach. Oznacza to, że atakujący mógłby
Co to dokładnie oznacza, zależy od konfiguracji. Np. Osoba atakująca może wysłać pocztę wyglądającą na pochodzącą z Twojej firmy i nadużyć reputacji poczty na serwerach; tym bardziej, jeśli skonfigurowano funkcje uwierzytelniania poczty, takie jak DKIM. Działa to do momentu skażenia przedstawiciela twojego serwera, a inne serwery pocztowe nie zaczną umieszczać na czarnej liście adresu IP / domeny.
Tak czy inaczej, przywracanie z kopii zapasowej jest właściwym wyborem.
źródło
W większości odpowiedzi brakuje dwóch słów kluczowych: eskalacja uprawnień .
Gdy osoba atakująca ma dostęp do nieuprzywilejowanego konta, znacznie łatwiej jest im wykorzystać błędy w systemie operacyjnym i bibliotekach, aby uzyskać uprzywilejowany dostęp do systemu. Nie należy zakładać, że atakujący wykorzystał tylko nieuprzywilejowany dostęp, jaki pierwotnie uzyskał.
źródło
rm -rf ~
Lub coś podobnie byłoby dość katastrofalny i nie trzeba uprawnień roota.źródło
rm -rf /
jest znacznie bezpieczniejszy (jk nie rób tego. Zabija wszystko: urbandictionary.com/define.php?term=rm+-rf+%2F. )Ransomware
Nie dotyczy to Twojej sytuacji, ponieważ można to zauważyć, ale w dzisiejszych czasach dość popularne ataki oprogramowania ransomware (szyfrowanie wszystkich dokumentów i oferowanie sprzedaży klucza odszyfrowującego) jest całkowicie wystarczające, aby mieć nieuprzywilejowany dostęp.
Nie można modyfikować plików systemowych, ale generalnie przebudowa systemu od zera jest prosta w porównaniu do odzyskiwania cennych danych użytkownika (dokumentów biznesowych, zdjęć rodzinnych itp.) Z kopii zapasowych, które często są przestarzałe lub nieistniejące.
źródło
Najczęstsze (w moim POV, z mojego doświadczenia):
Wysyłanie spamu
Wysyłanie większej ilości spamu
Infekowanie innych komputerów
Skonfiguruj strony phishingowe
...
źródło
Wirus może zainfekować wszystkie maszyny w sieci LAN i podnieść uprawnienia do uzyskania dostępu do konta root wiki-Privilege_escalation
źródło
Przychodzi mi na myśl wiele potencjalnych możliwości:
Oczywiście jest to gorszy scenariusz, więc nie panikuj. Niektóre z nich mogą zostać zablokowane przez inne środki bezpieczeństwa i nie będą wcale trywialne.
źródło
Informacje [1]
IMHO jedną z najbardziej przerażających rzeczy, które może zrobić exploit, jest zbieranie informacji i pozostawanie w ukryciu, aby wrócić i zaatakować, gdy twoja uwaga będzie mniejsza (każda noc lub okres wakacyjny będzie odpowiedni).
Oto tylko pierwsze powody, które przychodzą mi na myśl, możesz dodać innych i innych ...
Spłaszcz więc tę maszynę i monitoruj przyszłe hasła i klucze, z powyższych powodów i wszystkich innych, które możesz odczytać z innych odpowiedzi.
[1] Nie cytując dosłownie Hitchcocka: „Strzał z pistoletu trwa chwilę, ale ręka z bronią może trwać cały film”
źródło