Nach einem kürzlichen Einbruch auf einem Linux-Computer habe ich eine ausführbare Datei im Home-Ordner eines Benutzers mit einem schwachen Passwort gefunden. Ich habe alles aufgeräumt, was den Schaden zu bedeuten scheint, bereite aber zur Sicherheit ein vollständiges Abwischen vor.
Was kann Malware, die von einem Nicht-Sudo-Benutzer oder einem nicht privilegierten Benutzer ausgeführt wird, tun? Sucht es nur nach Dateien, die mit einer weltweiten, beschreibbaren Infektionserlaubnis versehen sind? Welche Bedrohungen kann ein Benutzer ohne Administratorrechte auf den meisten Linux-Systemen ausführen? Können Sie einige Beispiele für Probleme in der Praxis nennen, die durch diese Art von Sicherheitsverletzung verursacht werden können?
Antworten:
Die meisten normalen Benutzer können E-Mails senden, Systemdienstprogramme ausführen und Netzwerk-Sockets erstellen, die an höheren Ports empfangsbereit sind. Dies bedeutet, ein Angreifer könnte
Was genau dies bedeutet, hängt von Ihrem Setup ab. Der Angreifer könnte beispielsweise E-Mails senden, die so aussehen, als stammten sie von Ihrem Unternehmen, und die E-Mail-Reputation Ihres Servers missbrauchen. Dies gilt umso mehr, wenn Funktionen zur E-Mail-Authentifizierung wie DKIM eingerichtet wurden. Dies funktioniert, bis der Mitarbeiter Ihres Servers befleckt ist und andere Mailserver damit beginnen, die IP / Domain auf die schwarze Liste zu setzen.
In jedem Fall ist die Wiederherstellung von einem Backup die richtige Wahl.
quelle
Bei den meisten Antworten fehlen die beiden Schlüsselwörter: Eskalation der Rechte .
Wenn ein Angreifer Zugriff auf ein nicht privilegiertes Konto hat, ist es für ihn viel einfacher, Fehler im Betriebssystem und in den Bibliotheken auszunutzen, um privilegierten Zugriff auf das System zu erhalten. Sie sollten nicht davon ausgehen, dass der Angreifer nur den nicht privilegierten Zugriff verwendet hat, den er ursprünglich erhalten hat.
quelle
Ein
rm -rf ~
oder etwas Ähnliches wäre ziemlich katastrophal, und Sie benötigen keine Root-Rechte.quelle
rm -rf /
ist viel sicherer (jk mach es nicht. Es tötet alles: urbandictionary.com/define.php?term=rm+-rf+%2F. )Ransomware
Es trifft nicht auf Ihre Situation zu, da Sie es bemerkt hätten, aber für die heutzutage populären Angriffe von Ransomware (Verschlüsseln aller Ihrer Dokumente und Anbieten des Verkaufs des Entschlüsselungsschlüssels) ist es völlig ausreichend, nicht privilegierten Zugriff zu haben.
Es kann keine Systemdateien ändern, aber im Allgemeinen ist das Neuerstellen eines Systems von Grund auf einfach, verglichen mit der Wiederherstellung wertvoller Benutzerdaten (Geschäftsdokumente, Familienbilder usw.) von Sicherungen, die häufig veraltet oder nicht vorhanden sind.
quelle
Am häufigsten (in meiner POV, aus meiner Erfahrung):
Spam senden
Senden Sie mehr Spam
Andere Computer infizieren
Richten Sie Phishing-Sites ein
...
quelle
Ein Virus kann alle Computer in Ihrem LAN-Netzwerk infizieren und die Berechtigung erhöhen, den Root-Zugriff wiki-Privilege_escalation zu erhalten
quelle
Mir fallen viele mögliche Möglichkeiten ein:
Natürlich ist dies ein schlimmeres Szenario, also keine Panik. Einige davon werden möglicherweise durch andere Sicherheitsmaßnahmen blockiert und sind überhaupt nicht trivial.
quelle
Informationen [1]
Eine der erschreckendsten Möglichkeiten eines Exploits ist es, Informationen zu sammeln und versteckt zu bleiben, um zurückzukehren und zu zuschlagen, wenn Ihre Aufmerksamkeit nachlässt (jede Nacht oder Urlaubsperiode ist geeignet).
Das Folgende sind nur die ersten Gründe, die mir in den Sinn kommen, Sie können andere und andere hinzufügen ...
Machen Sie den Computer platt und überwachen Sie die zukünftigen Passwörter und Schlüssel, aus den oben genannten Gründen und all den anderen, die Sie aus den anderen Antworten ablesen können.
[1] Nicht wörtlich Hitchcock zitieren: "Ein Schuss einer Waffe dauert einen Moment, aber eine Hand mit einer Waffe kann einen ganzen Film aushalten "
quelle