私のホームディレクトリに、次を指す.#tmp.tmp#(私が作成したものではない)というシンボリックリンクがあることがわかりました。[Eメール保護]:177780xxxx ここで x は追加の数値です。
Googleの検索結果6912は、トロイの木馬や他のプログラムが使用するポートであることがわかりました。シンボリックリンクを削除し、ポート6912が閉じていることを確認しました。しかし、それにもかかわらず私の個人的なシステムが損傷している可能性があると思います。 HDは限られたパーソナルシステムであり、ログを収集しません。私のホームディレクトリに対してclamavスキャンを実行しましたが、感染が見つかりませんでした。私は現在私のルートディレクトリでスキャンを実行しています。
私はroot権限でシステムを使用せずに昇順コマンドを実行するためにsudoだけを使用します。
私は、次の信念や問題についてコミュニティからの指示を受けたいと思います。
- これは、root権限を持つシステムを使用していないためです。改ざんされた唯一のファイルは、私のホームディレクトリにある可能性が最も高いです。
- ルート権限なしで通信用のポートを開くことはできますか?
- 177780xxxxファイルの内容を表示できますか?
- 私がこの状況を間違って解釈しているのだろうか?
助けてくれてありがとう!
編集:明らかに[Eメール保護]:177780xxxx 悪くないです。これは実際にEmacsの予想される動作です(https://stackoverflow.com/questions/5738170/why-does-emacs-create-temporary-symbolic-links-for-modified-files)一時ファイルを生成するとき。シンボリックリンクの形式は次のとおりです。[Eメール保護]:いくつかの数値文字列。数字6912は、Google検索の一部のトロイの木馬投稿と非常によく一致していることがわかりました。まったくシステムの復元を完了しましたが、残念です! !
答え1
rootではなく、通常のユーザーとしてユーザーコマンドを実行することをお勧めしますが、システムのセキュリティに影響を与える唯一の要素ではありません。
他の重要な要素は次のとおりです。
- まだサポートサイクルにあるLinuxディストリビューションを実行します。言い換えれば、脆弱性は依然としてパッケージの更新によって解決されます。
- セキュリティ関連のアップデートをすぐに適用
- Flashブラウザプラグイン、Javaブラウザプラグイン、Adobe PDFブラウザプラグインなど、よく知られているセキュリティ問題を無効にします。
- 広告ブロッカーをインストールしてください。広告ブロッカープラス- 広告ネットワークはしばしばマルウェアを伝播するために使用されるためです(ブラウザのバグなど)。
- sshdを実行している場合:sshdでパスワード認証を無効にします(代わりに公開鍵認証に切り替えます)。それ以外の場合、スクリプトKiddyはパスワードを推測する可能性があります。
ほとんどの場合、一般ユーザーとしてシステムを使用しても、攻撃者がroot権限を取得するために悪用する可能性がある特定の脆弱性があります。
デフォルトでは、無制限のユーザープロセスは1023以上のすべてのポートを開くことができます。
システムが損傷していると思われる場合は、次のことを行う必要があります。
- 今閉じる
- 別のクリーンシステムを使用してディスクドライブを接続します。 - ディスクイメージの作成 - その後、このイメージを使用できます(読み取り専用)法医学および/または最後の定期バックアップが古すぎる場合に備えて、一部のユーザーデータを回収します。
- 潜在的に破損したドライブのパーティションテーブル、ブートセクタなどを拭きます。
- 信頼できるソースからLinuxディストリビューションのインストールイメージを取得します。たとえば、クリーンなシステムからダウンロードし、チェックサムと署名を確認します。
- このイメージを使用してシステムをインストールします。
セキュリティが懸念される場合は、次の機能を備えたLinuxディストリビューションを選択できます。強制アクセス制御(MAC)デフォルトでは有効になっています。たとえば、FedoraまたはCentOS(使用SELinux)。 MACは特定の種類の攻撃を無効にすることができます。
答え2
前の回答に続いて1をもう一度クエリしてください。別のMACを見てください。 MAC時間 - 見つかったシンボリックリンクの変更、アクセス、および変更/作成時間を確認し、同じまたは類似の別のファイルとフォルダを見つけます。修正時間。この時間は Stomp などのユーティリティを使用して変更できます。
攻撃がどのように発生したかを理解するのに役立ちます。たとえば、悪意のあるサイトにアクセスして、誤ってトロイの木馬をインストールするのを助けた可能性があります。
さらに、可能な攻撃ベクトルは、ホストの基盤を確保し、権限を root に昇格させることです。攻撃者が内部的に感染したボックスを無視し、代わりにボックスを使用してインターネット上の他のホストを攻撃するのを見たことがあります。
誤って設定されたsudoersファイルを使用してrootにエスカレーションする方法があるため、sudoを使用すると保護レベルが提供されます。コマンドのユーザーアカウント...
sudo /usr/bin/vi
その後、viで:eやcontrol oなどのコマンドを使用し、:wを使用して/ etc / shadowにアクセスし、ルート暗号化パスワードを復号化できます。