最近侵入运行 Linux 的计算机后,我在具有弱密码的用户的主文件夹中发现了一个可执行文件。我已经清理了似乎所有的损坏,但我正在准备彻底擦拭以确保安全。
非 sudo 或非特权用户运行的恶意软件可以做什么?它只是寻找标记有世界可写权限的文件来感染吗?非管理员用户可以在大多数 Linux 系统上执行哪些威胁性操作?您能否提供一些此类安全漏洞可能导致的现实问题的示例?
答案1
大多数普通用户可以发送邮件、执行系统实用程序以及创建侦听更高端口的网络套接字。这意味着攻击者可以
- 发送垃圾邮件或网络钓鱼邮件,
- 利用仅在系统内部可见的任何系统错误配置(考虑具有宽松读取权限的私钥文件),
- 设置一个服务来分发任意内容(例如色情种子)。
这到底意味着什么取决于您的设置。例如,攻击者可能会发送看似来自您公司的邮件,并滥用您的服务器邮件信誉;如果已设置 DKIM 等邮件身份验证功能,则更是如此。这将一直有效,直到您的服务器的代表受到污染并且其他邮件服务器开始将 IP/域列入黑名单。
无论哪种方式,从备份恢复都是正确的选择。
答案2
大多数答案都漏掉了两个关键词:权限升级。
如果攻击者可以访问非特权帐户,那么他们就更容易利用操作系统和库中的错误来获得对系统的特权访问。您不应假设攻击者仅使用他们最初获得的非特权访问权限。
答案3
Arm -rf ~或类似的东西将是相当灾难性的,并且您不需要 root 权限。
答案4
最常见的(以我的观点,根据我的经验):
发送垃圾邮件
发送更多垃圾邮件
感染其他计算机
设置网络钓鱼站点
...