Может ли вредоносная программа, запущенная пользователем без прав администратора или sudo, навредить моей системе? [закрыто]

30

После недавнего взлома на компьютере под управлением Linux я обнаружил исполняемый файл в домашней папке пользователя со слабым паролем. Я убрал то, что, кажется, весь ущерб, но я готовлю полное стирание, чтобы быть уверенным.

Что может делать вредоносная программа, запущенная не-sudo или непривилегированным пользователем? Это просто поиск файлов, помеченных с разрешением на запись для заражения? Какие угрозы могут делать пользователи без прав администратора в большинстве систем Linux? Можете ли вы привести примеры реальных проблем, которые могут быть вызваны такими нарушениями безопасности?

security malware ezgoodnight
источник
14
Он может делать все, что вы могли бы сделать как непривилегированный пользователь, что может быть очень много вещей.
Фахим Митха
1
Это зависит от ваших настроек и от того, находится ли машина в хорошем состоянии. Это может быть как отправка вредоносного ПО или участие в бот-сети, так и повышение привилегий, выполнение всех этих действий и дальнейшая компрометация машины и безопасности вашей сети.
Руи Ф Рибейро
9
Если вредоносная программа достаточно сложна, она может использовать уязвимости для получения root-доступа. Нарушенная система всегда должна считаться полностью сломанной и должна быть немедленно отключена.
Runium
2
Примечание. Обычно эксплойты неактивны месяцами. Эксплуататор продаст способность делать плохие вещи другим.
Джакомо Катенацци
5
Локальное повышение привилегий access.redhat.com/security/cve/CVE-2016-0728
Джефф Шаллер

Ответы:

29

Большинство обычных пользователей могут отправлять почту, запускать системные утилиты и создавать сетевые сокеты, прослушивая более высокие порты. Это означает, что злоумышленник может

  • отправлять спам или фишинговые письма,
  • использовать любую неправильную конфигурацию системы, видимую только внутри системы (например, файлы с закрытым ключом с разрешающими полномочиями на чтение),
  • настроить сервис для распространения произвольного содержания (например, порно торрент).

Что именно это означает, зависит от вашей настройки. Например, злоумышленник может отправлять почту, выглядящую так, как будто она пришла от вашей компании, и злоупотреблять почтовой репутацией вашего сервера; тем более, если установлены функции аутентификации почты, такие как DKIM. Это работает до тех пор, пока репутация вашего сервера не испортится, и другие почтовые серверы не начнут помещать в черный список IP / домен.

В любом случае, восстановление из резервной копии является правильным выбором.

tarleb
источник
17
Злоумышленник может зашифровать все данные пользователей и потребовать плату, чтобы получить закрытый ключ для этого
Ferrybig
1
@Ferrybig Они могут только зашифровать текущую версию, но не резервные копии. Тогда возникает вопрос: не является ли набор резервных копий непустым?
PyRulez
Мы все знаем обычный ответ на этот вопрос, @PyRulez: O
TheBlastOne
Означает ли отправка электронных писем с сервера, что вы можете использовать адреса электронной почты @ вашего домена более различимым способом, чем использование совершенно не относящегося к делу сервера?
user23013
1
@ user23013 Не обязательно, но для многих систем это так. Почтовые мастера могут устанавливать технологии, такие как SPF , DKIM и DMARC, которые позволяют удаленным серверам проверять законность входящей почты. Некоторые почтовые программы (например, Gmail) предлагают возможность выделить письма, проверенные таким образом. Злоумышленник может использовать это, чтобы отправлять на первый взгляд заслуживающие доверия фишинговые письма.
tarleb
19

В большинстве ответов отсутствуют два ключевых слова: повышение привилегий .

Если у злоумышленника есть доступ к непривилегированной учетной записи, ему гораздо легче использовать ошибки в операционной системе и библиотеках для получения привилегированного доступа к системе. Не следует предполагать, что злоумышленник использовал только непривилегированный доступ, который он изначально получил.

Дэвид Ричерби
источник
2
Я ждал публикации, чтобы увидеть, заметил ли кто-нибудь этот реальный риск. Переполнение буфера, вечный друг всех злодеев, лол. У вас должно было быть больше плюс 1, потому что это реальный риск, а не какая-то шпионская программа уровня пользователя, которая раздражает, но это все. Повышение привилегий, приводящее к установке руткитов, к полностью принадлежащему компьютеру, с по существу необнаруживаемыми эксплойтами, успешно выполняемыми за кулисами.
Lizardx
15

А rm -rf ~или что-то подобное может быть довольно катастрофическим, и вам не нужны привилегии root.

joH1
источник
15
Уважаемые новички в UNIX, не пытайтесь! (это сотрет ваши личные файлы)
AL
1
Точно так, как говорит А.Л. rm -rf /намного безопаснее (jk не делайте этого. Это убивает все: urbandictionary.com/define.php?term=rm+-rf+%2F. )
PyRulez
12

Вымогатели

Это не относится к вашей ситуации, так как вы бы заметили это, но для в настоящее время несколько популярных атак вымогателей (шифрование всех ваших документов и предложение продать ключ дешифрования) вполне достаточно, чтобы иметь непривилегированный доступ.

Он не может изменять системные файлы, но обычно восстановление системы с нуля является простым по сравнению с восстановлением ценных пользовательских данных (бизнес-документов, семейных фотографий и т. Д.) Из резервных копий, которые часто устарели или отсутствуют.

Петерис
источник
11

Наиболее часто (в моем POV, из моего опыта):

  • Рассылка спама

  • Отправка большего количества спама

  • Заражение других компьютеров

  • Настройка фишинговых сайтов

  • ...

Джакомо Катенацци
источник
2
Вы забыли еще немного спама.
Autar
4

Вирус может заразить все машины в вашей локальной сети и повысить привилегию для получения root-доступа. Wiki-Privilege_escalation

Повышение привилегий - это использование ошибки, ошибки проектирования или недосмотра конфигурации в операционной системе или программном приложении для получения расширенного доступа к ресурсам, которые обычно защищены от приложения или пользователя. В результате приложение с более широкими правами, чем предусмотрено разработчиком приложения или системным администратором, может выполнять несанкционированные действия.

GAD3R
источник
0

Много потенциальных возможностей приходят мне в голову:

  • Отказ в обслуживании: это может быть на вашей машине или, более вероятно, использовать вашу машину для атаки на другую за счет собственных ресурсов.
  • Мои биткойны. Использование вашего процессора для получения денег кажется достаточно привлекательным
  • Если браузер уязвим, они будут пытаться перенаправить вас на все виды сайтов, устанавливать бары или показывать всплывающие окна, которые принесут им доход. К счастью, это кажется сложнее в Linux, или спаммеры не так хороши в этом.
  • Получите личные данные для коммерческого использования и продайте их другим. Только для скомпрометированного пользователя: дата рождения, телефон, если он есть в кэше браузера.
  • Доступ к другим файлам на сервере, которые доступны для чтения.
  • Создавайте вредоносные скрипты, которые могут запрашивать пароль root. Например, в вашем bash они могут попытаться перенаправить sudo на другие вещи, чтобы получить ваш пароль.
  • Получите ваши сохраненные пароли в браузере или попробуйте ввести учетные данные вашего банка. Это может быть сложнее, но, безусловно, будет опасно. С Gmail они могут получить Facebook, украсть вашу учетную запись Steam, Amazon и т.д.
  • Установите вредоносные сертификаты как действительные для вашего пользователя

Конечно, это худший сценарий, поэтому не паникуйте. Часть этого может быть заблокирована другими мерами безопасности и не будет тривиальной вообще.

borjab
источник
0

Информация [1]

ИМХО, одна из самых страшных вещей, которую может сделать эксплойт, - это собирать информацию и оставаться скрытой, чтобы вернуться и нанести удар, когда ваше внимание будет меньше (каждый вечер или праздничный период подойдет)
Ниже приведены только первые причины, которые приходят мне в голову, вы можете добавить других и других ...

  • Информация об используемых вами сервисах , их версиях и слабых местах, с особым вниманием к устаревшим, которые вам могут понадобиться для поддержки совместимости.
  • Периодичность, с которой вы обновляете их и исправления безопасности. Чтобы сидеть перед бюллетенем и ждать подходящего момента, чтобы попытаться вернуться.
  • В привычках ваших пользователей, рост меньше подозреваемых , когда это будет.
  • В обороноспособности настройка.
  • Если получен хотя бы частичный root-доступ к ssh-ключам , авторизованным хостам и паролям на этом и других компьютерах для каждого пользователя (предположим, что кто-то выполнил команду с паролем, переданным в качестве параметра, ему даже не нужна привилегия root). Удалось отсканировать память и извлечь ее. Я снова говорю: в обе стороны, к вашей машине и от вашей машины. Благодаря двухсторонней авторизации ssh между двумя машинами они могут продолжать входить и выходить из скомпрометированной учетной записи.

Так распрямите эту машину и следите за будущими паролями и ключами, по этим причинам, указанным выше, и по всем остальным, которые вы можете прочитать из других ответов.

[1] Цитируя не буквально, Хичкок: «Выстрел из пистолета длится мгновение, но рука с оружием может длиться весь фильм»

Hastur
источник