我不确定我所尝试做的事情是否可行,所以我想听听安全人员的意见。
我有一个保留默认凭据的远程 nvidia 设备,有人强行破解了该设备并访问了它,然后更改了密码,以便使用它进行比特币挖掘。
由于我已经设置了 ssh 密钥身份验证,我仍然可以访问该设备,但是当我登录时,我无法做很多事情,我有一个想法运行一个键盘记录器,但我没有权限安装键盘记录器脚本所需的一些依赖项并使用 sudo,还查看了一些特权提升漏洞,但它们已被修补,例如CVE-2021-3156。
我能做什么呢,知道我仅以非 root 用户身份进行基于 ssh 密钥的访问,或者我应该尝试恢复模式并重定向到 bash 并设置新密码?
OS version: Ubuntu 18.04
sudo version:
$ uname -a
Linux xavier-desktop 4.9.201-tegra #1 SMP PREEMPT Fri Feb 19 08:42:04 PST 2021 aarch64 aarch64 aarch64 GNU/Linux
答案1
从技术上讲,通过使用一些巧妙的权限提升方案,这很可能是可行的,但如果您不是专业的渗透测试人员,您不太可能想出这样的方案。几乎所有操作系统都存在权限层次结构,这是有充分理由的,如果允许使用一些简单的技巧来提升您的用户权限,那么安全性将非常糟糕。如果您的系统没有自动更新,您唯一现实的选择就是等到发布另一种提升权限的方法。但如果确实存在适用于这种特定情况的漏洞,这可能需要数月或数年的时间。
另一种解决方案仅适用于您可以物理访问该设备并且其 BIOS 和主驱动器未加密的情况 - 从任何 Linux 实时 CD(当然也可以是拇指驱动器)启动,并使用 chroot 和 passwd 为安装设置新的 root 密码。
但是,如果您只有远程访问权限,无法从其他介质启动?那可不行,很抱歉。您的系统已丢失。重置系统,继续您的生活。下次,请禁用简单密码登录或使用更强的密码。