Phần mềm độc hại có thể được chạy bởi người dùng mà không có quyền quản trị hoặc sudo có thể gây hại cho hệ thống của tôi không? [đóng cửa]

30

Sau lần đột nhập gần đây trên một máy chạy Linux, tôi đã tìm thấy một tệp thực thi trong thư mục chính của người dùng có mật khẩu yếu. Tôi đã dọn sạch những gì có vẻ là tất cả các thiệt hại, nhưng đang chuẩn bị lau sạch để chắc chắn.

Phần mềm độc hại có thể được chạy bởi người dùng NON-sudo hoặc không có đặc quyền làm gì? Có phải nó chỉ tìm kiếm các tập tin được đánh dấu với sự cho phép có thể ghi được trên thế giới để lây nhiễm? Điều gì đe dọa người dùng không phải quản trị viên có thể làm trên hầu hết các hệ thống Linux? Bạn có thể cung cấp một số ví dụ về các vấn đề trong thế giới thực mà loại vi phạm an ninh này có thể gây ra không?

security  malware 
ezgoodnight
nguồn
14
Nó có thể làm bất cứ điều gì bạn có thể làm với tư cách là một người dùng không có đặc quyền, có thể là rất nhiều thứ.
Faheem Mitha
1
Nó phụ thuộc vào thiết lập của bạn và nếu máy được bảo trì tốt. Nó có thể bao gồm từ việc chỉ gửi phần mềm độc hại hoặc là một phần của mạng botnet, từ các đặc quyền leo thang, thực hiện tất cả những điều đó và làm tổn hại thêm đến máy và bảo mật mạng của bạn.
Rui F Ribeiro
9
Nếu phần mềm độc hại đủ tinh vi, nó có thể khai thác lỗ hổng để có quyền truy cập root. Một hệ thống bị vi phạm luôn luôn bị coi là bị hỏng hoàn toàn và cần được đưa ra ngoại tuyến ngay lập tức.
Runium
2
Lưu ý: Thông thường các khai thác không hoạt động trong nhiều tháng. Người khai thác sẽ bán khả năng làm điều xấu cho người khác.
Giacomo Catenazzi
5
Jeff Schaller

Câu trả lời:

29

Hầu hết người dùng bình thường có thể gửi thư, thực thi các tiện ích hệ thống và tạo các ổ cắm mạng lắng nghe trên các cổng cao hơn. Điều này có nghĩa là một kẻ tấn công có thể

  • gửi thư rác hoặc thư lừa đảo,
  • khai thác bất kỳ cấu hình sai hệ thống nào chỉ có thể nhìn thấy từ bên trong hệ thống (nghĩ rằng các tệp khóa riêng với quyền đọc cho phép),
  • thiết lập một dịch vụ để phân phối nội dung tùy ý (ví dụ: torrent khiêu dâm).

Điều này chính xác có nghĩa là gì phụ thuộc vào thiết lập của bạn. Ví dụ, kẻ tấn công có thể gửi thư trông giống như nó đến từ công ty của bạn và lạm dụng danh tiếng thư máy chủ của bạn; thậm chí còn nhiều hơn nếu các tính năng xác thực thư như DKIM đã được thiết lập. Điều này hoạt động cho đến khi đại diện máy chủ của bạn bị mờ và các máy chủ thư khác bắt đầu đưa vào danh sách đen IP / tên miền.

Dù bằng cách nào, khôi phục từ bản sao lưu là lựa chọn đúng đắn.

tarleb
nguồn
17
Kẻ tấn công có thể mã hóa tất cả dữ liệu của người dùng và yêu cầu thanh toán để lấy khóa riêng cho nó
Ferrybig
1
@Ferrybig Họ chỉ có thể mã hóa phiên bản hiện tại, không thể sao lưu. Câu hỏi sau đó trở thành thế này: tập hợp sao lưu có phải là không?
PyRulez
Chúng ta đều biết câu trả lời thông thường cho câu hỏi đó, @PyRulez: O
TheBlastOne
Việc gửi email từ máy chủ có nghĩa là bạn có thể sử dụng địa chỉ email @ tên miền của mình, theo cách dễ phân biệt hơn so với sử dụng máy chủ hoàn toàn không liên quan?
dùng23013
1
@ user23013 Không nhất thiết, nhưng với nhiều hệ thống, nó có. Postmasters có thể thiết lập các công nghệ như SPF , DKIMDMARC cho phép các máy chủ từ xa xác thực tính hợp pháp của thư đến. Một số người gửi thư (ví dụ: Gmail) cung cấp tùy chọn làm nổi bật thư được xác thực theo cách đó. Kẻ tấn công có thể lạm dụng điều này để gửi thư lừa đảo có vẻ đáng tin cậy.
tarleb
19

Hầu hết các câu trả lời đều thiếu hai từ khóa: leo thang đặc quyền .

Một kẻ tấn công có quyền truy cập vào một tài khoản không có đặc quyền, việc khai thác lỗi trong hệ điều hành và thư viện sẽ dễ dàng hơn nhiều để có được quyền truy cập vào hệ thống. Bạn không nên cho rằng kẻ tấn công chỉ sử dụng quyền truy cập không có đặc quyền mà họ có được ban đầu.

David Richerby
nguồn
2
Tôi đã chờ đợi để đăng bài để xem có ai ghi nhận rủi ro thực sự đặc biệt này không. Bộ đệm tràn ra, người bạn vĩnh viễn của tất cả các loại ác ý, lol. Bạn nên có nhiều hơn 1 vì đây là rủi ro thực tế, không phải phần mềm gián điệp cấp độ người dùng, gây phiền nhiễu mà là về nó. Sự leo thang đặc quyền, dẫn đến cài đặt rootkit, dẫn đến một cỗ máy hoàn toàn thuộc sở hữu, với những khai thác cơ bản không thể phát hiện được đang chạy hạnh phúc phía sau hậu trường.
Lizardx
15

Một rm -rf ~hoặc một cái gì đó tương tự sẽ là thảm họa, và bạn không cần quyền root.

tham gia
nguồn
15
Các bạn mới đến UNIX, đừng thử điều này! (nó sẽ xóa các tệp cá nhân của bạn)
AL
1
Chính xác như AL nói. rm -rf /an toàn hơn nhiều (jk đừng làm điều đó. Nó sẽ giết tất cả mọi thứ: urbandipedia.com/define.php?term=rm+-rf+%2F. )
PyRulez
12

Ransomware

Nó không áp dụng cho tình huống của bạn, vì bạn sẽ nhận thấy điều đó, nhưng đối với các cuộc tấn công ransomware phổ biến hiện nay (mã hóa tất cả các tài liệu của bạn và đề nghị bán khóa giải mã) thì việc truy cập không được ưu tiên là hoàn toàn đủ.

Nó không thể sửa đổi các tệp hệ thống, nhưng nói chung việc xây dựng lại một hệ thống từ đầu rất đơn giản so với việc khôi phục dữ liệu người dùng có giá trị (tài liệu kinh doanh, hình ảnh gia đình, v.v.) từ các bản sao lưu thường lỗi thời hoặc không tồn tại.

Peter là
nguồn
11

Phổ biến nhất (trong POV của tôi, từ kinh nghiệm của tôi):

  • Gửi thư rác

  • Gửi thêm thư rác

  • Lây nhiễm các máy tính khác

  • Thiết lập trang web lừa đảo

  • ...

Giacomo Catenazzi
nguồn
2
Bạn đã quên một số thư rác.
Autar
4

Một vi-rút có thể lây nhiễm tất cả các máy trong mạng LAN của bạn và nâng cao đặc quyền để có quyền truy cập root wiki-Privilege_escalation

Leo thang đặc quyền là hành động khai thác lỗi, lỗi thiết kế hoặc giám sát cấu hình trong hệ điều hành hoặc ứng dụng phần mềm để có quyền truy cập cao vào các tài nguyên thường được bảo vệ khỏi ứng dụng hoặc người dùng. Kết quả là một ứng dụng có nhiều đặc quyền hơn dự định của nhà phát triển ứng dụng hoặc quản trị viên hệ thống có thể thực hiện các hành động trái phép.

GAD3R
nguồn
0

Rất nhiều khả năng tiềm tàng xuất hiện trong đầu tôi:

  • Từ chối dịch vụ: có thể là trên máy của bạn hoặc có thể xảy ra hơn, hãy sử dụng máy của bạn để tấn công máy thứ hai với chi phí tài nguyên của chính bạn.
  • Khai thác bitcoin. Sử dụng CPU của bạn để kiếm tiền dường như đủ hấp dẫn
  • Nếu trình duyệt dễ bị tấn công, họ sẽ cố gắng chuyển hướng bạn đến mọi loại trang web, cài đặt các thanh hoặc hiển thị cửa sổ bật lên sẽ mang lại cho họ doanh thu. Điều này có vẻ khó hơn trong Linux hoặc những kẻ gửi thư rác không giỏi về điều này.
  • Nhận dữ liệu riêng tư để sử dụng thương mại và bán nó cho người khác. Chỉ dành cho người dùng bị xâm nhập: ngày sinh, điện thoại, nếu nó nằm trong bộ nhớ cache của trình duyệt.
  • Truy cập các tập tin khác trong máy chủ có thể đọc được.
  • Tạo các tập lệnh độc hại có thể yêu cầu mật khẩu root. Ví dụ, trong bash của bạn, họ có thể cố gắng chuyển hướng sudo sang những thứ khác để lấy mật khẩu của bạn.
  • Nhận mật khẩu được lưu trữ của bạn trong trình duyệt hoặc cố gắng khóa các khoản tín dụng ngân hàng của bạn. Điều này có thể khó hơn nhưng chắc chắn sẽ nguy hiểm. Với gmail, họ có thể lấy facebook, lấy trộm tài khoản hơi nước, amazon, v.v.
  • Cài đặt chứng chỉ độc hại là hợp lệ cho người dùng của bạn

Tất nhiên đây là một trường hợp tồi tệ hơn vì vậy đừng hoảng sợ. Một số điều này có thể bị chặn bởi các biện pháp bảo mật khác và sẽ không tầm thường chút nào.

borjab
nguồn
0

Thông tin [1]

IMHO một trong những điều đáng sợ nhất mà một người khai thác có thể làm là thu thập thông tin và ẩn đi để quay lại và tấn công khi sự chú ý của bạn sẽ ít hơn (mỗi đêm hoặc kỳ nghỉ sẽ phù hợp).
Sau đây chỉ là những lý do đầu tiên xuất hiện trong tâm trí tôi, bạn có thể thêm người khác và những người khác ...

  • Thông tin về các dịch vụ bạn đang chạy, phiên bản của chúng và các điểm yếu của chúng, đặc biệt chú ý đến dịch vụ lỗi thời mà bạn có thể cần để duy trì sự sống vì lý do tương thích.
  • Định kỳ mà bạn cập nhật chúng và các bản vá bảo mật. Để ngồi trước một bản tin và chờ đợi thời điểm thích hợp để cố gắng quay lại.
  • Các thói quen của người dùng của bạn, để tăng ít nghi ngờ khi nó sẽ được.
  • Các phòng thủ bạn thiết lập.
  • Nếu có được ngay cả một phần gốc truy cập vào các khóa ssh , các máy chủ được ủy quyềnmật khẩu trên máy này và các máy khác cho mỗi người dùng (giả sử ai đó đã thực thi một lệnh với mật khẩu được truyền dưới dạng tham số thì nó thậm chí không cần đặc quyền gốc). Có thể quét bộ nhớ và giải nén nó. Tôi nói lại: theo cả hai cách, với máy của bạn và từ máy của bạn. Với ủy quyền ssh 2 mặt giữa hai máy, họ có thể tiếp tục thoát ra khỏi tài khoản bị xâm nhập.

Vì vậy, làm phẳng máy đó và theo dõi các mật khẩu và khóa trong tương lai, vì những lý do trên và tất cả những lý do khác mà bạn có thể đọc từ các câu trả lời khác.

[1] Trích dẫn không theo nghĩa đen là Hitchcock: "Một phát súng kéo dài trong giây lát nhưng một bàn tay cầm vũ khí có thể kéo dài cả một bộ phim"

Vội vàng
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.