Ubuntu(和其他 Linux 发行版)的桌面用户是否应该担心恶意软件感染驱动器被描述为“温迪戈行动”?
它对我们直接构成什么威胁?会产生什么长期影响?
答案1
只需重新阅读问题。如果您的安装没有 SSH,或者您的 SSH 服务器无法在线使用(例如,它被 NAT 路由器等阻止),您无需担心此消息。整个攻击都需要 SSH。
此外,如果您没有运行 Web 服务器(并且您的互联网连接不太好),那么 Windigo 不太可能(但重要的是,这并非不可能)打扰您,即使您确实有一个暴露的 SSH 服务器。
这并不是说你没有任何风险。还有其他恶意软件,随着时间的推移和 Ubuntu 用户的增加,恶意软件的数量还会更多。操纵人们也非常容易。几年前我曾有过一点牢骚:Linux 并非坚不可摧。不要说它是。
无论如何,如果您还在阅读,我会假设您正在互联网上运行 SSH 服务器。
这ESET 关于“Windigo 行动”的帖子和 PDF 文章应该告诉你一切你需要判断您是否处于危险之中或目前是否被感染。他们有示例代码,可以复制并运行以测试您的系统。
整篇文章确实值得一读,但这并不是某些人所说的安全灾难。这些服务器被感染的主要途径是人类的愚蠢行为:
Linux 服务器上没有漏洞被利用;只有被盗凭证被利用。我们得出结论,服务器上的密码认证应该成为过去
因此,尽管大肆宣传,但这是一种非常基本的感染技术。他们要么破解密码(最有可能是字典攻击),要么从客户端计算机、备份等处窃取 SSH 密钥。我认为这是第一种。
这没有什么巧妙或新颖之处。每个运行 SSH 服务器的人都面临这些风险,而且这些风险很容易防范。只是练习基本的SSH 安全一切都会好起来:使用受密码保护的密钥而不是密码,sshd
在高端口上运行,使用fail2ban,不使用root用户。如果您忽略这些基本原则并运行允许root用户使用密码登录的SSH服务器,那么您将被黑客入侵。
只是因为这这不是基于漏洞的感染,并不意味着下一次不会发生。及时了解安全发布包至关重要。让它自动化。确保您的 PHP(等)脚本得到更新至关重要,订阅作者的 RSS 源。
Windigo 的重要性在于安装在服务器上的 rootkit 的复杂性和可移植性。通过动态 DNS 而不是静态 IP 实现网络弹性,多个 httpd 配置可最大程度地提高成功率,整个堆栈中没有依赖关系,几乎可以肯定可以在所有情况下运行(即使在 ARM 上)……而且从各方面来看,有效载荷(垃圾邮件和客户端计算机的感染工具包)都非常有效。1% 的成功率意味着史诗当你谈论每天 500K 的时候。
我发现,某些人认为“这种情况发生在 Linux 上,所以 Linux 不安全”的推论是无稽之谈。这种情况可能发生在任何平台上,而且坦率地说,这种情况已经发生了。这里特别之处在于,这是由有能力的开发人员完成的。值得庆幸的是,入侵点几乎就像窃贼在门垫下找到备用钥匙一样简单。
太长;没读过的版本……
它似乎被黑客入侵的服务器是由安全性较弱的白痴运营的,但不要掉以轻心。检查您的服务器是否被感染,并检查您是否犯了与目前被感染的人相同的愚蠢错误。
答案2
呵呵。这正是我说 PPA 是个坏主意的原因。但是,你指出的文章告诉我们没有病毒。通常的安全措施应该没问题:从主存储库获取最新更新,考虑你下载和运行的内容,无论是 root 还是用户。如果你对某些软件有丝毫的担忧,请使用 AppArmor 或特殊用户 ID 锁定它。
答案3
根据建议的检查,确认我的系统是干净的之后,我该如何防止任何未来的入侵?
ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo “System clean” || echo “System infected”