最近、Linuxを実行しているコンピュータが破損した後、パスワードが脆弱なユーザーのホームフォルダに実行可能ファイルが見つかりました。被害のある部分はすべて整理しましたが、安全のため徹底した拭き取りを準備しています。
sudoではないユーザーまたは権限のないユーザーが実行しているマルウェアは何ができますか?感染する可能性のある完全な書き込み権限を持つファイルのみを探していますか?ほとんどのLinuxシステムでは、管理者以外のユーザーが実行できる脅威的なタスクは何ですか?そのようなセキュリティ違反によって引き起こされる可能性がある実際の問題のいくつかの例を提供できますか?
答え1
ほとんどの一般ユーザーはメールを送信し、システムユーティリティを実行し、より高いポートでリッスンするネットワークソケットを作成できます。これは、攻撃者が以下を実行できることを意味します。
- スパムまたはフィッシングメールを送信してください。
- システム内でのみ表示される誤ったシステム構成を悪用します(読み取り権限が許可された秘密鍵ファイルを考えてみてください)。
- 任意のコンテンツ(ポルノ急流など)を配信するサービスを設定します。
これが正確に意味するものは設定によって異なります。たとえば、攻撃者は会社から送信されたように見える電子メールを送信して、サーバーの電子メール評判を悪用する可能性があります。特に、DKIMなどの電子メール認証機能が設定されている場合はさらにそうです。これは、サーバー代表が汚染され、他のメールサーバーがIP /ドメインをブラックリストにアップロードし始めるまで機能します。
どちらにしてもバックアップから復元するのが正しい選択です。
答え2
ほとんどの答えは2つの重要な単語を見逃しています。権限昇格。
攻撃者が権限のないアカウントにアクセスできる場合は、オペレーティングシステムとライブラリのバグを悪用して、システムへの特権アクセスを取得する方が簡単です。攻撃者が最初に取得した権限のないアクセスのみを使用していると仮定してはいけません。
答え3
Arm -rf ~
または同様のものは非常に悲惨であり、ルートアクセスは必要ありません。
答え4
最も一般的なもの(私の経験によると):
スパムを送信
スパムをもっと送る
他のコンピュータ感染
フィッシングサイトの設定
...