Bisakah malware dijalankan oleh pengguna tanpa hak admin atau sudo membahayakan sistem saya? [Tutup]

30

Setelah istirahat baru-baru ini pada mesin yang menjalankan Linux, saya menemukan file yang dapat dieksekusi di folder rumah pengguna dengan kata sandi yang lemah. Saya telah membersihkan apa yang tampak sebagai semua kerusakan, tetapi saya sedang mempersiapkan pembersihan penuh untuk memastikan.

Apa yang dapat dilakukan oleh malware yang dilakukan oleh NON-sudo atau pengguna yang tidak memiliki hak? Apakah hanya mencari file yang ditandai dengan izin tertulisi dunia untuk menginfeksi? Hal-hal apa yang mengancam yang dapat dilakukan oleh pengguna non-admin pada kebanyakan sistem Linux? Bisakah Anda memberikan beberapa contoh masalah dunia nyata yang dapat ditimbulkan oleh pelanggaran keamanan semacam ini?

security  malware 
ezgoodnight
sumber
14
Itu bisa melakukan apa pun yang bisa Anda lakukan sebagai pengguna yang tidak memiliki hak, yang bisa menjadi banyak hal.
Faheem Mitha
1
Tergantung pengaturan Anda dan apakah mesin terawat dengan baik. Mulai dari mengirim malware atau menjadi bagian dari botnet, mulai dari meningkatkan hak istimewa, melakukan semua hal itu, dan lebih jauh membahayakan mesin dan keamanan jaringan Anda.
Rui F Ribeiro
9
Jika malware cukup canggih, ia dapat mengeksploitasi kerentanan untuk mendapatkan akses root. Sistem yang dilanggar selalu dianggap benar-benar rusak dan harus segera dimatikan.
Runium
2
Catatan: Biasanya eksploitasi tidak aktif selama berbulan-bulan. Pengeksploitasi akan menjual kemampuan untuk melakukan hal-hal buruk kepada orang lain.
Giacomo Catenazzi
5
Eskalasi hak istimewa lokal access.redhat.com/security/cve/CVE-2016-0728
Jeff Schaller

Jawaban:

29

Sebagian besar pengguna normal dapat mengirim email, menjalankan utilitas sistem, dan membuat soket jaringan mendengarkan pada port yang lebih tinggi. Ini berarti penyerang bisa

  • mengirim spam atau surat phishing,
  • mengeksploitasi kesalahan konfigurasi sistem yang hanya terlihat dari dalam sistem (pikirkan file kunci pribadi dengan izin baca permisif),
  • mengatur layanan untuk mendistribusikan konten sewenang-wenang (mis. torrent porno).

Apa sebenarnya artinya ini tergantung pada pengaturan Anda. Misalnya penyerang dapat mengirim surat yang sepertinya berasal dari perusahaan Anda dan menyalahgunakan reputasi surat server Anda; terlebih lagi jika fitur otentikasi email seperti DKIM telah diatur. Ini berfungsi sampai perwakilan server Anda mencemari dan server email lainnya mulai membuat daftar hitam IP / domain.

Bagaimanapun, memulihkan dari cadangan adalah pilihan yang tepat.

tarleb
sumber
17
Penyerang dapat mengenkripsi semua data pengguna dan membutuhkan pembayaran untuk mendapatkan kunci pribadi untuk itu
Ferrybig
1
@Ferrybig Mereka hanya dapat mengenkripsi versi saat ini, bukan mencadangkan. Pertanyaannya kemudian menjadi ini: apakah himpunan cadangan tidak kosong?
PyRulez
Kita semua tahu jawaban yang biasa untuk pertanyaan itu, @PyRulez: O
TheBlastOne
Apakah mengirim email dari server menyiratkan Anda dapat menggunakan alamat email @ domain Anda, dengan cara yang lebih dapat dibedakan daripada menggunakan server yang sama sekali tidak relevan?
user23013
1
@ user23013 Tidak harus, tetapi dengan banyak sistem, ya. Postmaster dapat mengatur teknologi seperti SPF , DKIM , dan DMARC yang memungkinkan server jarak jauh untuk memvalidasi keabsahan surat masuk. Beberapa mailer (misalnya Gmail) menawarkan opsi untuk menyorot email yang divalidasi dengan cara itu. Seorang penyerang dapat menyalahgunakan ini untuk mengirim surat phishing yang tampaknya dapat dipercaya.
tarleb
19

Sebagian besar jawaban tidak memiliki dua kata kunci: eskalasi hak istimewa .

Satu penyerang memiliki akses ke akun yang tidak memiliki hak pribadi, akan lebih mudah bagi mereka untuk mengeksploitasi bug di sistem operasi dan perpustakaan untuk mendapatkan akses istimewa ke sistem. Anda tidak boleh berasumsi bahwa penyerang hanya menggunakan akses yang tidak terjangkau yang awalnya mereka peroleh.

David Richerby
sumber
2
Saya sedang menunggu posting untuk melihat apakah ada yang mencatat risiko nyata khusus ini. Buffer overflows, teman abadi semua penjahat, lol. Anda seharusnya memiliki lebih dari plus 1 karena ini adalah risiko nyata yang sebenarnya, bukan beberapa spyware tingkat pengguna, yang menjengkelkan tetapi hanya itu saja. Peningkatan hak istimewa, yang mengarah ke pemasangan rootkit, mengarah ke mesin yang sepenuhnya dimiliki, dengan eksploitasi yang pada dasarnya tidak terdeteksi berjalan dengan gembira di belakang layar.
Lizardx
15

Sebuah rm -rf ~atau sesuatu yang serupa akan menjadi bencana besar, dan Anda tidak memerlukan hak akses root.

joH1
sumber
15
Pendatang baru UNIX yang terhormat, jangan coba ini! (Ini akan menghapus file pribadi Anda)
AL
1
Persis seperti kata AL. rm -rf /jauh lebih aman (jk jangan lakukan itu. Ini membunuh segalanya: urbandictionary.com/define.php?term=rm+-rf+%2F. )
PyRulez
12

Ransomware

Ini tidak berlaku untuk situasi Anda, karena Anda akan menyadarinya, tetapi untuk serangan ransomware saat ini yang agak populer (mengenkripsi semua dokumen Anda dan menawarkan untuk menjual kunci dekripsi), itu benar-benar cukup untuk memiliki akses yang tidak terjangkau.

Itu tidak dapat memodifikasi file sistem, tetapi umumnya membangun kembali sistem dari awal adalah sederhana dibandingkan dengan pemulihan data pengguna yang berharga (dokumen bisnis, gambar keluarga, dll) dari cadangan yang sering usang atau tidak ada.

Peter adalah
sumber
11

Paling umum (dalam POV saya, dari pengalaman saya):

  • Mengirim spam

  • Mengirim lebih banyak spam

  • Menginfeksi komputer lain

  • Siapkan situs phishing

  • ...

Giacomo Catenazzi
sumber
2
Anda lupa beberapa spam lagi.
Autar
4

Virus dapat menginfeksi semua mesin di jaringan LAN Anda dan meningkatkan hak istimewa untuk mendapatkan akses root wiki-Privilege_escalation

Eskalasi hak istimewa adalah tindakan mengeksploitasi bug, cacat desain atau pengawasan konfigurasi dalam sistem operasi atau aplikasi perangkat lunak untuk mendapatkan akses tinggi ke sumber daya yang biasanya dilindungi dari aplikasi atau pengguna. Hasilnya adalah bahwa aplikasi dengan hak istimewa lebih dari yang dimaksudkan oleh pengembang aplikasi atau administrator sistem dapat melakukan tindakan yang tidak sah.

GAD3R
sumber
0

Banyak kemungkinan potensial muncul di benak saya:

  • Penolakan layanan: bisa pada mesin Anda atau lebih mungkin, gunakan mesin Anda untuk menyerang yang kedua dengan mengorbankan sumber daya Anda sendiri.
  • Tambang bitcoin. Menggunakan CPU Anda untuk mendapatkan uang tampaknya cukup menarik
  • Jika peramban rentan, mereka akan mencoba mengarahkan Anda ke setiap jenis situs, memasang bilah, atau menampilkan munculan yang akan memberi mereka penghasilan. Untungnya ini tampaknya lebih sulit di Linux atau spammer tidak sebagus ini.
  • Dapatkan data pribadi untuk penggunaan komersial dan menjualnya kepada orang lain. Hanya untuk pengguna yang dikompromikan: tanggal lahir, telepon, jika ada di browser caché.
  • Akses file lain di server yang dapat dibaca.
  • Buat skrip berbahaya yang mungkin meminta kata sandi root. Misalnya, dalam bash Anda, mereka mungkin mencoba mengalihkan sudo ke hal lain untuk mendapatkan kata sandi Anda.
  • Dapatkan kata sandi Anda yang tersimpan di browser atau coba keylog kredensial bank Anda. Ini mungkin lebih sulit tetapi tentu saja akan berbahaya. Dengan gmail mereka bisa mendapatkan facebook, mencuri akun uap, amazon, dll.
  • Instal sertifikat jahat sebagai valid untuk pengguna Anda

Tentu saja ini adalah skenario kasus yang lebih buruk jadi jangan panik. Beberapa di antaranya mungkin diblokir oleh tindakan keamanan lainnya dan tidak akan sepele sama sekali.

borjab
sumber
0

Informasi [1]

IMHO, salah satu hal paling menakutkan yang dapat dilakukan oleh eksploit adalah mengumpulkan informasi dan tetap tersembunyi untuk kembali dan menyerang ketika perhatian Anda akan berkurang (setiap malam atau periode liburan akan sesuai).
Berikut ini hanya alasan pertama yang muncul di pikiran saya, Anda dapat menambahkan orang lain dan orang lain ...

  • Informasi tentang layanan yang Anda jalankan, versi dan kelemahannya, dengan perhatian khusus pada layanan usang yang mungkin perlu Anda pertahankan agar tetap hidup karena alasan kompatibilitas.
  • Berkala dengan mana Anda memperbaruinya dan patch keamanan. Untuk duduk di depan sebuah buletin dan menunggu saat yang tepat untuk mencoba kembali.
  • Para kebiasaan pengguna Anda, meningkat kurang tersangka ketika akan.
  • The pertahanan Anda mengatur.
  • Jika diperoleh bahkan sebagian root mengakses kunci ssh , host resmi dan kata sandi pada ini dan mesin lain untuk setiap pengguna (misalkan seseorang mengeksekusi perintah dengan kata sandi yang dilewatkan sebagai parameter bahkan tidak diperlukan hak akses root). Dimungkinkan untuk memindai memori dan mengekstraknya. Saya katakan lagi: dalam dua cara, ke mesin Anda dan dari mesin Anda. Dengan otorisasi ssh 2 sisi antara dua mesin, mereka dapat terus memantul masuk dan keluar dari akun yang disusupi.

Jadi ratakan mesin itu dan pantau kata sandi dan kunci di masa depan, untuk alasan ini di atas dan semua yang lain yang dapat Anda baca dari jawaban lainnya.

[1] Mengutip tidak secara harfiah Hitchcock: "Tembakan senjata berlangsung sesaat tetapi tangan yang memegang senjata dapat bertahan dalam film penuh"

Cepat
sumber
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.