Чи може шкідливе програмне забезпечення, яке керує користувач без права адміністратора чи sudo, завдати шкоди моїй системі? [зачинено]

30

Після недавньої перерви на машині під управлінням Linux я знайшов виконуваний файл у домашній папці користувача зі слабким паролем. Я очистив те, що, як видається, завдає усієї шкоди, але готую повне витирання, щоб бути впевненим.

Що може зробити зловмисне програмне забезпечення, яким керує користувач NON-sudo або непривілейований користувач? Це просто пошук файлів, позначених дозволом на зараження у світі? Які небезпечні речі може зробити користувач без адміністрування у більшості систем Linux? Чи можете ви навести кілька прикладів проблем із реальним світом, які може призвести до такого порушення безпеки?

security  malware 
ezgoodnight
джерело
14
Він може робити все, що можна зробити, як непривілейований користувач, що може бути цілою великою кількістю речей.
Faheem Mitha
1
Це залежить від вашого налаштування та від того, чи машина доглянута. Це може варіюватися від просто надсилання зловмисного програмного забезпечення або участі в ботнеті, від ескалації привілеїв, виконання всіх цих речей та подальшого компрометації машини та безпеки вашої мережі.
Rui F Ribeiro
9
Якщо зловмисне програмне забезпечення є досить складним, воно може використовувати вразливості для отримання кореневого доступу. Порушену систему завжди слід вважати повністю порушеною, і її слід негайно відключити в автономний режим.
Руніум
2
Примітка: Зазвичай подвиги місяцями неактивні. Експлуатувач буде продавати здатність робити погані справи іншим.
Джакомо Катенацці
5
Ескалація місцевих пільг access.redhat.com/security/cve/CVE-2016-0728
Jeff Schaller

Відповіді:

29

Більшість звичайних користувачів можуть надсилати пошту, виконувати утиліти системи та створювати мережеві розетки, слухаючи більш високі порти. Це означає, що зловмисник міг би

  • надсилати спам або фішинг,
  • використовувати будь-які неправильні налаштування системи, видимі лише зсередини системи (думайте, що файли приватних ключів з дозволом для читання),
  • налаштувати сервіс для розповсюдження довільного вмісту (наприклад, порно-торрент).

Що саме це означає, залежить від вашого налаштування. Наприклад, зловмисник може надсилати пошту, схожу на вашу компанію, і зловживати репутацією пошти ваших серверів; тим більше, якщо налаштовані функції аутентифікації пошти, такі як DKIM. Це працює до тих пір, поки представник вашого сервера не покаже і інші поштові сервери почнуть чорний список IP / домену.

У будь-якому випадку відновлення резервного копіювання - це правильний вибір.

тарлаб
джерело
17
Зловмисник може зашифрувати всі дані користувачів та вимагати оплати, щоб отримати приватний ключ за нього
Ferrybig
1
@Ferrybig Вони можуть зашифровувати лише поточну версію, а не резервні копії. Тоді питання стає таким: чи набір резервних копій не порожній?
PyRulez
Ми всі знаємо звичайну відповідь на це питання @PyRulez: O
TheBlastOne
Чи означає, що надсилання електронних листів із сервера означає, що ви можете використовувати адреси електронної пошти @ ваш домен більш чітко, ніж використання абсолютно невідповідного сервера?
user23013
1
@ user23013 Це не обов'язково, але це стосується багатьох систем. Поштові майстри можуть налаштувати такі технології, як SPF , DKIM та DMARC, що дозволяє віддаленим серверам перевірити законність вхідної пошти. Деякі пошти (наприклад, Gmail) пропонують можливість виділити повідомлення, підтверджені таким чином. Зловмисник може зловживати цим, щоб надсилати, здавалося б, надійні фішинг-листи.
tarleb
19

У більшості відповідей відсутні два ключових слова: ескалація привілеїв .

Один зловмисник має доступ до непривілейованого облікового запису, їм набагато простіше використовувати помилки в операційній системі та бібліотеках, щоб отримати привілейований доступ до системи. Не слід вважати, що зловмисник використовував лише непривілейований доступ, який вони отримали спочатку.

Девід Річербі
джерело
2
Я чекав на публікацію, щоб побачити, чи хтось зазначив цей конкретний реальний ризик. Буфер переповнює, вічний друг усіх зловмисників, хаха. У вас повинно було бути більше плюс 1, оскільки це справжній реальний ризик, а не якийсь шпигунський рівень на рівні користувача, який дратує, але це стосується цього. Ескалація привілеїв, що веде до встановлення руткітів, веде до повністю машинної машини, з фактично невизначеними подвигами, які щасливо працюють за кулісами.
Lizardx
15

rm -rf ~Або що - то так було б досить катастрофічними, і вам не потрібні повноваження супер.

joH1
джерело
15
Шановні новачки UNIX, не пробуйте цього! (це видалить ваші особисті файли)
AL
1
Саме так, як каже АЛ. rm -rf /набагато безпечніше (jk не робити цього. Це вбиває все: urbandictionary.com/define.php?term=rm+-rf+%2F. )
PyRulez
12

Викуп

Це не стосується вашої ситуації, оскільки ви це помітили, але на сьогодні дещо популярні атаки викупних програм (шифруючи всі ваші документи та пропонуючи продати ключ розшифровки), цілком достатньо мати непривілейований доступ.

Він не може змінювати системні файли, але, як правило, відновлення системи з нуля є простим порівняно з відновленням цінних даних користувачів (ділових документів, сімейних зображень тощо) із резервних копій, які часто є застарілими або відсутніми.

Петерис
джерело
11

Найпоширеніші (з мого досвіду, з мого досвіду):

  • Надсилання спаму

  • Надсилання більше спаму

  • Зараження інших комп’ютерів

  • Налаштування фішинг-сайтів

  • ...

Джакомо Катенацці
джерело
2
Ви забули ще трохи спаму.
Аутар
4

Вірус може заразити всі машини у вашій мережі LAN та підвищити привілей, щоб отримати кореневий доступ до wiki-Privilege_escalation

Ескалація привілеїв - це використання помилки, недоліків дизайну чи нагляду за конфігурацією в операційній системі або програмному застосуванні для отримання підвищеного доступу до ресурсів, які зазвичай захищені програмою або користувачем. Результат полягає в тому, що програма, що має більше привілеїв, ніж призначено розробником програми або системним адміністратором, може виконувати дії, що не мають дозволу.

GAD3R
джерело
0

На мою думку приходить безліч потенційних можливостей:

  • Відмова в обслуговуванні: це може бути на вашій машині або більш імовірно, використовуйте ваш апарат, щоб атакувати другий ціною власних ресурсів.
  • Шахта біткойни. Використання CPU для отримання грошей здається досить атрактивним
  • Якщо браузер вразливий, вони намагатимуться перенаправляти вас на всі типи сайтів, встановлювати бари або показувати спливаючі вікна, які принесуть їм прибуток. На жаль, це здається складніше в Linux, або спамери не дуже хороші в цьому.
  • Отримайте приватні дані для комерційного використання та продайте їх іншим. Тільки для компрометованого користувача: дата народження, телефон, якщо він знаходиться в кеш-пам’яті браузера.
  • Доступ до інших файлів на сервері, які можна прочитати.
  • Створіть шкідливі сценарії, які можуть запитати пароль root. Наприклад, у вашому баші вони можуть спробувати перенаправити sudo на інші речі, щоб отримати ваш пароль.
  • Отримати збережені паролі у веб-переглядачі або спробувати зафіксувати облікові записи банківських файлів. Це може бути складніше, але, безумовно, буде небезпечно. За допомогою gmail вони можуть отримати facebook, вкрасти ваші пари, Amazon тощо.
  • Встановіть шкідливі сертифікати як дійсні для вашого користувача

Звичайно, це гірший сценарій, тому не панікуйте. Частина цього може бути заблокована іншими заходами безпеки і взагалі не буде тривіальною.

борджаб
джерело
0

Інформація [1]

ІМХО - одна з найстрашніших речей, яку може зробити експлуатування, - це збирати інформацію і залишатися прихованою, щоб повертатися і страйкувати, коли вашої уваги буде менше (підходить кожен вечір або відпустка).
Нижче наведено лише перші причини, які з'являються у мене на думці, ви можете додати інших та інших ...

  • Інформація про послуги, якими ви керуєте, їх версію та їх слабкі сторони, з особливою увагою на застарілий, який вам може знадобитися для збереження в живих з міркувань сумісності.
  • Періодичність , з якою ви їх оновлення і патчі безпеки. Сісти перед бюлетенем і чекати потрібного моменту, щоб спробувати повернутися.
  • ці звички ваших користувачів, зростання менше підозрюваних , коли це буде.
  • У обороноздатність настройка.
  • Якщо ви отримали навіть частковий кореневий доступ до ssh-ключів , авторизованих хостів та паролів на цьому та інших машинах для кожного користувача (припустимо, хтось виконав команду з паролем, переданим як параметр, він навіть не потребує привілею root). Можна було просканувати пам'ять і витягнути її. Я ще раз кажу: в обох напрямках, до вашої машини і від вашої машини. Маючи двосторонній авторизаційний ssh ​​між двома машинами, вони можуть продовжувати відскакувати з компрометованого облікового запису.

Тому сплюстіть цю машину і стежте за майбутніми паролями та ключами, з цих причин вище та за всіма іншими, які ви можете прочитати з інших відповідей.

[1] Цитуючи не буквально Хічкока: "Постріл з пістолета триває мить, але рука, яка має зброю, може тривати повний фільм"

Гастур
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.