심볼릭 링크는 [이메일 보호됨]:144780xxxx 형식입니다.

심볼릭 링크는 [이메일 보호됨]:144780xxxx 형식입니다.

방금 내 홈 디렉토리에 다음을 가리키는 .#tmp.tmp#(내가 만든 것이 아님)라는 심볼릭 링크가 있다는 것을 알았습니다.[이메일 보호됨]:177780xxxx 여기서 x는 추가 숫자입니다.

Google 검색 결과 6912는 트로이 목마 및 기타 프로그램이 사용하는 포트인 것으로 나타났습니다. 심볼릭 링크를 제거하고 포트 6912가 닫혀 있는지 확인했습니다. 하지만 그럼에도 불구하고 내 개인 시스템이 손상되었을 수도 있다고 생각합니다. HD가 제한된 개인용 시스템이라 로그를 수집하지 않습니다. 내 홈 디렉토리에 대한 clamav 스캔을 실행했는데 감염이 발견되지 않았습니다. 현재 내 루트 디렉터리에서 검사를 실행 중입니다.

나는 루트 권한으로 시스템을 사용하지 않고 상승된 명령을 실행하기 위해 sudo만 사용합니다.

나는 다음과 같은 신념이나 문제에 대해 커뮤니티로부터 지침을 받고 싶습니다.

  1. 루트 권한이 있는 시스템을 사용하지 않기 때문입니다. 변조된 유일한 파일은 내 홈 디렉토리에 있을 가능성이 가장 높습니다.
  2. 루트 권한 없이 통신용 포트를 열 수 있나요?
  3. 177780xxxx 파일의 내용을 볼 수 있나요?
  4. 내가 이 상황을 잘못 해석하고 있는 걸까?

도와주셔서 감사합니다!

편집 : 밝혀졌습니다[이메일 보호됨]:177780xxxx 나쁘지 않습니다. 이는 실제로 Emacs의 예상되는 동작입니다(https://stackoverflow.com/questions/5738170/why-does-emacs-create-temporary-symbolic-links-for-modified-files) 임시 파일을 생성할 때. 심볼릭 링크의 형식은 다음과 같습니다.[이메일 보호됨]: 일부 숫자 문자열. 숫자 6912는 Google 검색의 일부 트로이 목마 게시물과 매우 잘 일치하는 것으로 나타났습니다. 방금 전체 시스템 복원을 완료했는데, 안타깝습니다! !

답변1

루트가 아닌 일반 사용자로 사용자 명령을 실행하는 것은 좋지만 시스템 보안에 영향을 미치는 유일한 요소는 아닙니다.

다른 중요한 요소는 다음과 같습니다.

  • 아직 지원 주기에 있는 Linux 배포판을 실행합니다. 즉, 취약점은 여전히 ​​패키지 업데이트를 통해 해결됩니다.
  • 보안 관련 업데이트를 즉시 적용
  • Flash 브라우저 플러그인, Java 브라우저 플러그인, Adobe PDF 브라우저 플러그인과 같이 잘 알려진 보안 문제를 비활성화합니다.
  • 광고 차단기를 설치하세요.광고 차단기 플러스- 광고 네트워크는 종종 악성 코드를 전파하는 데 사용되기 때문입니다(예: 브라우저 버그 이용).
  • sshd를 실행 중인 경우: sshd에서 비밀번호 인증을 비활성화합니다(대신 공개 키 인증으로 전환). 그렇지 않으면 스크립트 키디가 비밀번호를 추측할 수 있습니다.

대부분의 경우 일반 사용자로 시스템을 사용하더라도 공격자가 루트 권한을 얻기 위해 악용할 수 있는 특정 취약점이 있습니다.

기본적으로 무제한 사용자 프로세스는 1023 이상의 모든 포트를 열 수 있습니다.

시스템이 손상된 것으로 의심되면 다음을 수행해야 합니다.

  • 지금 닫아
  • 다른 클린 시스템을 사용하여 디스크 드라이브를 연결합니다. - 디스크 이미지 생성 - 그런 다음 이 이미지를 사용할 수 있습니다(읽기 전용)법의학및/또는 마지막 정기 백업이 너무 오래된 경우를 대비해 일부 사용자 데이터를 회수합니다.
  • 잠재적으로 손상된 드라이브의 파티션 테이블, 부팅 섹터 등을 닦아냅니다.
  • 신뢰할 수 있는 소스에서 Linux 배포판의 설치 이미지를 얻습니다. 예를 들어 깨끗한 시스템에서 다운로드하고 체크섬과 서명을 확인합니다.
  • 이 이미지를 사용하여 시스템을 설치하십시오.

보안이 염려된다면 다음 기능을 갖춘 Linux 배포판을 선택할 수 있습니다.강제 액세스 제어(MAC)기본적으로 활성화되어 있습니다. 예를 들어 Fedora 또는 CentOS(사용SELinux). MAC는 특정 유형의 공격을 비활성화할 수 있습니다.

답변2

이전 답변에 이어 1을 다시 쿼리하세요. 다른 MAC을 살펴보세요. MAC 시간 - 찾은 심볼릭 링크의 수정, 액세스 및 변경/생성 시간을 확인한 다음 동일하거나 유사한 다른 파일 및 폴더를 찾습니다. 수정 시간. 이 시간은 Stomp와 같은 유틸리티를 사용하여 변경할 수 있습니다.

공격이 어떻게 발생했는지 이해하는 데 도움이 될 수 있습니다. 예를 들어 악성 사이트를 방문하여 실수로 트로이 목마 설치를 도왔을 수 있습니다.

또한 가능한 공격 벡터는 호스트에 대한 기반을 확보한 다음 권한을 루트로 승격시키려는 것입니다. 공격자가 내부적으로 감염된 상자를 무시하고 대신 상자를 사용하여 인터넷의 다른 호스트를 공격하는 것을 본 적이 있습니다.

잘못 구성된 sudoers 파일을 사용하여 루트로 에스컬레이션하는 방법이 있으므로 sudo를 사용하면 보호 수준이 제공되며 올바르게 설정되지 않은 경우 예를 들어 공격자가 액세스 권한을 얻고 실행할 수 있는 경우 잘못된 보안 감각을 얻는 것이 어렵지 않습니다. 명령에 대한 사용자 계정...

sudo /usr/bin/vi

그런 다음 vi에서 :e 또는 control o와 같은 명령을 사용하고 :w를 사용하여 /etc/shadow에 액세스하고 루트 암호화 비밀번호를 해독할 수 있습니다.

관련 정보