관리자 또는 sudo 권한이없는 사용자가 맬웨어를 실행하면 시스템이 손상 될 수 있습니까? [닫은]

최근 Linux를 실행하는 컴퓨터에서 침입 한 후 암호가 약한 사용자의 홈 폴더에서 실행 파일을 찾았습니다. 모든 손상으로 보이는 부분을 정리했지만 완전히 닦을 준비를하고 있습니다.

Non-sudo 또는 권한이없는 사용자가 맬웨어를 실행할 수있는 것은 무엇입니까? 감염 가능한 세계 쓰기 가능 권한이 표시된 파일을 찾고 있습니까? 관리자가 아닌 사용자가 대부분의 Linux 시스템에서 할 수있는 위협은 무엇입니까? 이러한 종류의 보안 침해로 인해 발생할 수있는 실제 문제의 예를 제공 할 수 있습니까?

대부분의 일반 사용자는 메일을 보내고 시스템 유틸리티를 실행하며 더 높은 포트에서 수신 대기하는 네트워크 소켓을 만들 수 있습니다. 이것은 공격자가

• 스팸 또는 피싱 메일 발송
• 시스템 내에서만 볼 수있는 시스템 구성 오류 (허용 된 읽기 권한이있는 개인 키 파일 생각)
• 임의의 콘텐츠 (예 : 포르노 토런트)를 배포하는 서비스를 설정합니다.

이것이 의미하는 바는 설정에 따라 다릅니다. 예를 들어 공격자는 회사에서 온 것처럼 메일을 보내 서버의 평판을 악용 할 수 있습니다. DKIM과 같은 메일 인증 기능이 설정된 경우 더욱 그렇습니다. 이것은 서버의 담당자가 오염되고 다른 메일 서버가 IP / 도메인을 블랙리스트에 올릴 때까지 작동합니다.

어느 쪽이든 백업에서 복원하는 것이 올바른 선택입니다.

대부분의 답변에는 특권 에스컬레이션 이라는 두 가지 핵심 단어가 빠져 있습니다.

공격자는 권한이없는 계정에 액세스 할 수 있으므로 운영 체제 및 라이브러리의 버그를 악용하여 시스템에 대한 권한있는 액세스 권한을 얻는 것이 훨씬 쉽습니다. 공격자가 원래 얻은 권한없는 액세스 만 사용했다고 가정해서는 안됩니다.

A rm -rf ~또는 그와 비슷한 것이 상당히 치명적일 수 있으며 루트 권한이 필요하지 않습니다.

랜섬웨어

그것은 당신이 그것을 알아 차렸을 것이기 때문에 당신의 상황에는 적용되지 않지만, 요즘에는 다소 인기있는 랜섬웨어 공격 (모든 문서를 암호화하고 암호 해독 키를 판매하기 위해 제공)은 권한이없는 액세스 권한을 갖는 것으로 충분합니다.

시스템 파일을 수정할 수는 없지만 일반적으로 사용하지 않거나 존재하지 않는 백업에서 중요한 사용자 데이터 (비즈니스 문서, 가족 사진 등)를 복구하는 것과 비교하여 처음부터 시스템을 처음부터 다시 작성하는 것은 간단합니다.

가장 일반적으로 (내 경험으로 볼 때 POV에서) :

• 스팸 발송

• 더 많은 스팸 발송

• 다른 컴퓨터 감염

• 피싱 사이트 설정

• ...

바이러스가 LAN 네트워크의 모든 컴퓨터를 감염시키고 루트 액세스 권한을 상승시킬 수 있습니다. wiki-Privilege_escalation

권한 에스컬레이션은 운영 체제 또는 소프트웨어 응용 프로그램에서 버그, 설계 결함 또는 구성 감독을 악용하여 일반적으로 응용 프로그램이나 사용자로부터 보호되는 리소스에 대한 액세스를 높입니다. 결과적으로 응용 프로그램 개발자 나 시스템 관리자가 의도 한 것보다 많은 권한을 가진 응용 프로그램이 무단 작업을 수행 할 수 있습니다.

많은 가능성이 떠 오릅니다.

• 서비스 거부 : 시스템에 있거나 더 가능성이 높을 수 있으므로 시스템을 사용하여 자원을 희생하여 두 번째 시스템을 공격하십시오.
• 광산 비트 코인. 돈을 벌기 위해 CPU를 사용하는 것은 충분히 비 활동적인 것처럼 보입니다.
• 브라우저가 취약한 경우 모든 종류의 사이트로 리디렉션하거나 막대를 설치하거나 팝업을 표시하여 수익을 제공합니다. 다행스럽게도 Linux에서는 이것이 더 어려워 보이거나 스패머는 이것에 능숙하지 않습니다.
• 상업적 용도로 사용할 개인 데이터를 입수하여 다른 사람에게 판매하십시오. 감염된 사용자 만 해당 : 생년월일, 전화 번호 (브라우저 캐시에있는 경우).
• 읽을 수있는 서버의 다른 파일에 액세스하십시오.
• 루트 암호를 요구할 수있는 악성 스크립트를 작성하십시오. 예를 들어, bash에서 sudo를 다른 것으로 리디렉션하여 암호를 얻을 수 있습니다.
• 브라우저에 저장된 비밀번호를 가져 오거나 은행 계좌를 키로그하려고합니다. 이것은 더 어려울 수 있지만 확실히 위험합니다. Gmail을 사용하면 페이스 북을 얻거나 증기를 훔치거나 아마존 등을 훔칠 수 있습니다.
• 사용자에게 유효한 악성 인증서 설치

물론 이것은 최악의 시나리오이므로 당황하지 마십시오. 이 중 일부는 다른 보안 조치에 의해 차단되어 사소한 것이 아닙니다.

정보 ^[1]

IMHO는 익스플로잇이 수행 할 수있는 가장 무서운 일 중 하나는 정보를 수집하고 관심이 적을 때 다시 돌아와서 숨을 수 있도록 숨기는 것입니다 (각 야간 또는 휴일 기간이 적합 함).
다음은 내 생각에 떠오른 첫 번째 이유 일뿐입니다. 다른 사람과 다른 사람을 추가 할 수 있습니다 ...

• [정보] 정보 서비스를 실행중인, 당신은 호환성을 위해 살아 유지해야하는 사용되지 않는 하나의 특별한주의와의 버전과 약점.
• 업데이트 주기 및 보안 패치. 게시판 앞에 앉아 올바른 순간을 기다렸다가 다시 방문합니다.
• 사용자 의 습관 , 의심이 적을 때.
• 방어 당신은 설정합니다.
• 각 사용자에 대해 ssh-keys , 권한이 부여 된 호스트 및 이 컴퓨터와 다른 컴퓨터 의 암호 에 부분적인 루트 액세스 권한 이있는 경우 누군가가 암호로 매개 변수로 전달 된 명령을 실행했다고 가정하면 루트 권한이 필요하지 않습니다. 메모리를 스캔하고 추출 할 수있었습니다. 다시 한 번 말하지만 두 가지 방법으로 컴퓨터와 컴퓨터에서. 두 시스템 사이에 양면 ssh 인증을 사용하면 손상된 계정에서 계속 튀어 오를 수 있습니다.

위의 이유와 다른 답변에서 읽을 수있는 다른 모든 이유로 인해 기계를 평평하게하고 미래의 암호와 키를 모니터링하십시오.

^{[1] 말 그대로 히치콕 인용 : "총의 총은 잠시 지속되지만 무기를 들고있는 손은 전체 영화를 지속 할 수 있습니다"}