我刚刚注意到我的主目录中有一个名为 .#tmp.tmp# 的符号链接(不是我创建的),它指向[电子邮件受保护]:177780xxxx 其中 x 是附加数字。
谷歌搜索发现6912是木马等使用的端口。我删除了符号链接并确认6912端口已关闭。但尽管如此,我相信我的个人系统可能已受到损害。我不收集日志,因为它是一个个人系统,高清有限。我对我的主目录运行了 clamav 扫描,没有检测到感染。目前正在我的根目录上运行扫描。
我不使用 root 权限使用系统,仅使用 sudo 运行提升的命令。
我希望就以下信念或问题从社区获得一些指导:
- 由于我不使用root权限的系统。唯一被篡改的文件很可能位于我的主目录中?
- 是否可以在没有root权限的情况下打开端口进行通信?
- 是否可以查看文件 177780xxxx 的内容?
- 我对这种情况的解读是否错误?
谢谢您的帮助!
编辑:事实证明[电子邮件受保护]:177780xxxx 并不是一件坏事。实际上这是 Emacs 的预期行为(https://stackoverflow.com/questions/5738170/why-does-emacs-create-temporary-symbolic-links-for-modified-files)创建临时文件时。符号链接的格式为[电子邮件受保护]:一些数字字符串。事实证明,数字 6912 与谷歌搜索上的一些木马帖子非常吻合。我刚刚完成了整个系统恢复,这对我来说是不幸的!!
答案1
以普通用户(而不是 root)身份运行用户命令很好,但这并不是影响系统安全的唯一因素。
其他重要因素是:
- 运行仍处于支持周期的 Linux 发行版,即仍通过软件包更新解决漏洞
- 及时应用安全相关更新
- 禁用众所周知的安全噩梦:例如 Flash 浏览器插件、Java 浏览器插件、Adobe PDF 浏览器插件
- 安装广告拦截器,例如广告拦截加- 因为广告网络经常被用来传播恶意软件(例如通过利用浏览器错误)
- 如果您正在运行 sshd:在 sshd 中禁用密码身份验证(改为切换到公钥身份验证),否则 script-kiddies 可能会猜测您的密码
即使您大部分时间都以普通用户身份使用系统,攻击者也可能利用某些漏洞来获得 root 权限。
默认情况下,不受限制的用户进程可以打开 1023 以上的任何端口。
如果您怀疑系统受到威胁,您应该执行以下操作:
- 立即将其关闭
- 使用另一个干净的系统将磁盘驱动器连接到 - 创建磁盘映像 - 然后这些映像可以用于(只读)法医和/或挽救一些用户数据,以防您上次的定期备份太旧
- 擦除可能受损的驱动器的分区表、引导扇区等
- 从可信来源获取 Linux 发行版的安装映像 - 例如,从干净的机器下载它并验证其校验和和签名
- 使用该映像安装您的系统
如果您关心安全性,您可以选择具有以下功能的 Linux 发行版:强制访问控制(MAC)默认启用 - 例如 Fedora 或 CentOS(它们使用SELinux)。 MAC 能够使某些类别的漏洞利用无效。
答案2
继上一个答案之后,重新查询 1...查看另一个 MAC:MAC 时间 - 您找到的符号链接的修改、访问和更改/创建时间,然后查找具有相同或相似修改时间的其他文件和文件夹。注意 可以使用 Stomp 等实用程序更改这些时间。
它可能有助于帮助您了解攻击是如何发生的 - 例如,您当时可能访问了恶意站点并无意中帮助安装了特洛伊木马。
此外,可能的攻击途径是在您的主机上站稳脚跟,然后寻求将权限升级为 root。尽管我看到攻击者在内部忽略了受感染的盒子,而是使用该盒子来攻击互联网上的其他主机。
有多种方法可以使用错误配置的 sudoers 文件升级到 root,因此使用 Sudo 确实提供了一定程度的保护,如果设置不正确,则不难获得错误的安全感,例如,如果攻击者获得了访问可以运行命令的用户帐户...
须藤 /usr/bin/vi
然后他们可以使用 vi 中的命令,如 :e 或控制 o 并使用 :w 访问 /etc/shadow 并有机会破解 root 加密密码。