这是根据个人使用情况进行的查询。我们本地网络中的一个巨魔下载了克里基,按键事件模拟器。他用它来模拟其他计算机上的事件,导致出现不需要的结果。例如,一个人正在玩流行的 FPS Urban Terror。攻击者使用 Crikey 更改玩家的昵称 ( /nick trollface
)。据我们所知,攻击者通过 ssh 进入我们的计算机,然后以某种方式切换 X 窗口,并模仿我们的事件。我想知道是否有人知道他是如何切换 X Windows 并做到这一点的。
答案1
这本来是不可能的;您正在运行某些软件的易受攻击版本,或者您配置错误。
在正常配置下,连接到 X 服务器需要一种称为“X cookie”的密码。 cookie 在 X 服务器启动时随机生成并存储在文件中。通常,只有启动X服务器的用户才能读取该文件,因此其他用户无法获取该cookie。有关当 cookie 的位置不是立即可见时(例如通过 SSH 连接访问远程计算机的显示时)如何访问 X 显示的详细说明,请参阅在远程 X 显示器上打开窗口(为什么“无法打开显示器”)?也可以看看有没有办法在桌面上与某人进行交流?和我可以以 root 身份在另一个用户的桌面上启动图形程序吗?关于访问另一个用户的 X 显示。
请注意,这里 Crikey 没有错误。 Crikey 无论如何都不是一个攻击程序。本质上,Crikey 写入文件,如果该文件没有足够的限制性权限,这不是 Crikey 的错。
可能的攻击途径包括:
- X cookie 存储在权限限制不足的文件中。检查
~/.Xauthority
或的权限$XAUTHORITY
;如果除所有者之外的任何人都可以读取此文件,则说明某些内容配置错误。 - X cookies 通过网络以明文形式传输。使用 SSH。
- X cookie 以明文形式提供,因为它们存储在 NFS 文件系统上,任何具有网络物理访问权限的人都可以安装该文件系统。如果您不信任所有对网络上的计算机具有 root 访问权限的用户,请不要使用 NFS(至少不是这种方式)。
- 目标用户跑了
xhost +
。不要那样做。
答案2
Putty x 终端仿真。任何运行 Xterminal 服务器的本地计算机都可以成为任何远程系统的控制台显示。 Xterminal 是最初的瘦客户端。一切都在远程机器上运行,并且是在本地计算机的 X 服务器上运行的显示功能的客户端。
您可以使用的另一个 X 服务器是 Xming