방금 내 홈 디렉토리에 다음을 가리키는 .#tmp.tmp#(내가 만든 것이 아님)라는 심볼릭 링크가 있다는 것을 알았습니다.[이메일 보호됨]:177780xxxx 여기서 x는 추가 숫자입니다.
Google 검색 결과 6912는 트로이 목마 및 기타 프로그램이 사용하는 포트인 것으로 나타났습니다. 심볼릭 링크를 제거하고 포트 6912가 닫혀 있는지 확인했습니다. 하지만 그럼에도 불구하고 내 개인 시스템이 손상되었을 수도 있다고 생각합니다. HD가 제한된 개인용 시스템이라 로그를 수집하지 않습니다. 내 홈 디렉토리에 대한 clamav 스캔을 실행했는데 감염이 발견되지 않았습니다. 현재 내 루트 디렉터리에서 검사를 실행 중입니다.
나는 루트 권한으로 시스템을 사용하지 않고 상승된 명령을 실행하기 위해 sudo만 사용합니다.
나는 다음과 같은 신념이나 문제에 대해 커뮤니티로부터 지침을 받고 싶습니다.
- 루트 권한이 있는 시스템을 사용하지 않기 때문입니다. 변조된 유일한 파일은 내 홈 디렉토리에 있을 가능성이 가장 높습니다.
- 루트 권한 없이 통신용 포트를 열 수 있나요?
- 177780xxxx 파일의 내용을 볼 수 있나요?
- 내가 이 상황을 잘못 해석하고 있는 걸까?
도와주셔서 감사합니다!
편집 : 밝혀졌습니다[이메일 보호됨]:177780xxxx 나쁘지 않습니다. 이는 실제로 Emacs의 예상되는 동작입니다(https://stackoverflow.com/questions/5738170/why-does-emacs-create-temporary-symbolic-links-for-modified-files) 임시 파일을 생성할 때. 심볼릭 링크의 형식은 다음과 같습니다.[이메일 보호됨]: 일부 숫자 문자열. 숫자 6912는 Google 검색의 일부 트로이 목마 게시물과 매우 잘 일치하는 것으로 나타났습니다. 방금 전체 시스템 복원을 완료했는데, 안타깝습니다! !
답변1
루트가 아닌 일반 사용자로 사용자 명령을 실행하는 것은 좋지만 시스템 보안에 영향을 미치는 유일한 요소는 아닙니다.
다른 중요한 요소는 다음과 같습니다.
- 아직 지원 주기에 있는 Linux 배포판을 실행합니다. 즉, 취약점은 여전히 패키지 업데이트를 통해 해결됩니다.
- 보안 관련 업데이트를 즉시 적용
- Flash 브라우저 플러그인, Java 브라우저 플러그인, Adobe PDF 브라우저 플러그인과 같이 잘 알려진 보안 문제를 비활성화합니다.
- 광고 차단기를 설치하세요.광고 차단기 플러스- 광고 네트워크는 종종 악성 코드를 전파하는 데 사용되기 때문입니다(예: 브라우저 버그 이용).
- sshd를 실행 중인 경우: sshd에서 비밀번호 인증을 비활성화합니다(대신 공개 키 인증으로 전환). 그렇지 않으면 스크립트 키디가 비밀번호를 추측할 수 있습니다.
대부분의 경우 일반 사용자로 시스템을 사용하더라도 공격자가 루트 권한을 얻기 위해 악용할 수 있는 특정 취약점이 있습니다.
기본적으로 무제한 사용자 프로세스는 1023 이상의 모든 포트를 열 수 있습니다.
시스템이 손상된 것으로 의심되면 다음을 수행해야 합니다.
- 지금 닫아
- 다른 클린 시스템을 사용하여 디스크 드라이브를 연결합니다. - 디스크 이미지 생성 - 그런 다음 이 이미지를 사용할 수 있습니다(읽기 전용)법의학및/또는 마지막 정기 백업이 너무 오래된 경우를 대비해 일부 사용자 데이터를 회수합니다.
- 잠재적으로 손상된 드라이브의 파티션 테이블, 부팅 섹터 등을 닦아냅니다.
- 신뢰할 수 있는 소스에서 Linux 배포판의 설치 이미지를 얻습니다. 예를 들어 깨끗한 시스템에서 다운로드하고 체크섬과 서명을 확인합니다.
- 이 이미지를 사용하여 시스템을 설치하십시오.
보안이 염려된다면 다음 기능을 갖춘 Linux 배포판을 선택할 수 있습니다.강제 액세스 제어(MAC)기본적으로 활성화되어 있습니다. 예를 들어 Fedora 또는 CentOS(사용SELinux). MAC는 특정 유형의 공격을 비활성화할 수 있습니다.
답변2
이전 답변에 이어 1을 다시 쿼리하세요. 다른 MAC을 살펴보세요. MAC 시간 - 찾은 심볼릭 링크의 수정, 액세스 및 변경/생성 시간을 확인한 다음 동일하거나 유사한 다른 파일 및 폴더를 찾습니다. 수정 시간. 이 시간은 Stomp와 같은 유틸리티를 사용하여 변경할 수 있습니다.
공격이 어떻게 발생했는지 이해하는 데 도움이 될 수 있습니다. 예를 들어 악성 사이트를 방문하여 실수로 트로이 목마 설치를 도왔을 수 있습니다.
또한 가능한 공격 벡터는 호스트에 대한 기반을 확보한 다음 권한을 루트로 승격시키려는 것입니다. 공격자가 내부적으로 감염된 상자를 무시하고 대신 상자를 사용하여 인터넷의 다른 호스트를 공격하는 것을 본 적이 있습니다.
잘못 구성된 sudoers 파일을 사용하여 루트로 에스컬레이션하는 방법이 있으므로 sudo를 사용하면 보호 수준이 제공되며 올바르게 설정되지 않은 경우 예를 들어 공격자가 액세스 권한을 얻고 실행할 수 있는 경우 잘못된 보안 감각을 얻는 것이 어렵지 않습니다. 명령에 대한 사용자 계정...
sudo /usr/bin/vi
그런 다음 vi에서 :e 또는 control o와 같은 명령을 사용하고 :w를 사용하여 /etc/shadow에 액세스하고 루트 암호화 비밀번호를 해독할 수 있습니다.