Вопросы Теги

Я был взломан?

Только владелец файла или суперпользователь, могут изменить полномочия на файле. Это верно, даже если пользователь является членом группы, которая владеет файлом и полномочиями файла, и родительский каталог предложил бы установить полномочия, должно быть возможным.

Можно управлять полномочиями файлов и каталогами во время создания, при помощи umask средство Вашей оболочки:

$ umask 002
$ mkdir -p targetdir
$ ls -ld targetdir
...
drwxrwxr-x  2 dan   wheel    2 19 Mar 15:13 targetdir

При выполнении этого в сценарии это - вероятно, хорошая идея сохранить исходное значение umask, таким образом, можно восстановить его после успешного создания каталогов.

8
06.08.2014, 14:42
3 ответа
[119448] Если вы используете веб-сервер, который позволяет скриптинг на стороне сервера (php, ruby и т.д.), то это очень просто сделать.

Все, что нужно сделать пользователю, это сгенерировать скрипт, который загружает файл в [119855]/tmp/sh64[119856], а затем запускает его. Веб-скрипты обычно должны иметь возможность выполнять внешние программы, поэтому такую активность трудно предотвратить.

[root@mysvr ~]# ps -ef | grep sleep
root      1362  1338  0 17:23 pts/0    00:00:00 sleep 12h
root      1393  1367  0 17:24 pts/1    00:00:00 grep sleep

Если учетная запись [119857]mick[119858] является той же самой учетной записью, которая используется для выполнения веб-скриптов пользователя, то я бы сказал, что нет, вы не взломаны. Просто пользователь злоупотребляет своей учетной записью.

Если вы хотите предотвратить такое поведение, есть несколько способов предотвратить его. Вы можете либо запретить вызов внешних программ. Или Вы можете сделать что-нибудь вроде kill long running программ (например, что-нибудь, что осталось запущенным более 60 секунд).[119859]. Не зная больше подробностей о вашей настройке, трудно определить наилучший путь.[119455].

11
27.01.2020, 20:10
[119456] У меня была похожая проблема. Они использовали устаревшую версию NRPE агента Nagios для запуска [119860]wget[119861] скрипта, который установил и настроил разработчика bitcoin miner из Sourceforge (демон NRPE имел [119862]dont_blame_nrpe[119863]). Я не нашёл ничего, что указывало бы на то, что попытка на моей машине была постоянной.
Это сценарий, который использовался для установки и настройки Bitcoin miner:

Этот сценарий полностью выполнялся как пользователь Nagios, так что ему не требовался root доступ.[119461].

2
27.01.2020, 20:10
[119414] Ваша система определенно была взломана или в худшем случае взломана. Есть и другие истории, описывающие установку подобного шахтера.

System Hacked, Bitcoin miner installed

Did my Linux lab box was hacked?

BitCoin Mining Malware search results through google

I would take the position that your system has been compromised and get anything critical off of it to start, so that you have backed it if it's not is already doing it's not been done this.

Analysis

enter image description here

Если вам интересно, как они попали внутрь, вам нужно получить полный список установленных служб (web, mysql и т.д.) и посмотреть, есть ли активные эксплойты, которые позволили бы кому-нибудь получить повышенные привилегии.

Я бы начал с любых включений web, которые являются приложениями, основанными на web. Обычно эти приложения могут быть переполнены буфером и иметь доступ к изменению стека веб-сервера для установки дополнительных приложений.

Именно в таком случае эти типы компрометаций могут быть изолированными инцидентами, поэтому просто удалите вредоносное ПО, а вредоносного ПО может быть достаточно, чтобы искоренить его без необходимости тратить время на полное восстановление/настройку системы.

Если бы эта система была построена с помощью образа на основе VPS, я бы поработал с провайдером, так как исправление, кажется, отвечает их интересам.

Помимо простого взлома веб стека

  1. Все, что находится на коробке, должно быть тщательно изучено и по сути является ненадежным, но я бы потратил немного времени на то, чтобы выяснить, не можете ли вы выяснить, откуда входят злоумышленники, если они вообще могут это сделать. Возможно, они входят в систему, используя учетные записи SSH, которые были добавлены в систему после ее компрометации.
  2. Это может быть трудной задачей, требующей много дней на анализ, особенно если вы не можете доверять ни одному из инструментов на модуле, чтобы помочь в этом деле. Я бы порекомендовал любому человеку потратить это время, чтобы понять, как его система была скомпрометирована, чтобы вы могли снизить риск того, что это повторится в будущем, по крайней мере, через этот конкретный вектор.
  3. Если это не проблема производственного типа, то это на самом деле хорошая возможность получить ценное представление о том, как системы могут быть скомпрометированы, а доступ к ним может быть "использован" злоумышленниками.

Серебряная подкладка?

Поскольку система используется для добычи, вероятно, они использовали автоматизированный набор инструментов для написания сценариев, так как атака на достаточное количество систем, чтобы настроить зомби-добытчиков, кажется, займет много времени. Когда такие инструменты используются, они обычно халтурят в своей конструкции, просто стремясь сделать минимум, чтобы закрепиться, а затем доставить свою полезную нагрузку (программное обеспечение для добычи), так что вам может повезти и вы получите некоторое дополнительное представление о том, как они смогли попасть внутрь.[119441].

2
27.01.2020, 20:10

Теги

Похожие вопросы

  • 0
    Как я могу запретить sudoer изменить главный ключ LUKS? 02.03.2017
    Есть сценарий, который меня беспокоит, и я не уверен, возможно ли его заархивировать. У меня есть машина с такой настройкой: главный системный раздел, зашифрованный LUKS. Пользователь с доступом sudo (добавлен в ...
  • 0
    стоимость слабого пароля для однопользовательского рабочего стола [закрыто] 02.03.2018
    Предположим, я установил в качестве пароля что-то очень простое, например букву «а», так что все, у кого есть доступ к приглашению на вход, фактически имеет root-доступ. Какие атаки меня это открывает, как ...
  • 3
    Как гарантировать целостность ОС? 13.04.2017
    В информационной безопасности целостность означает, что данные не могут быть изменены незаметно. Этот ответ повысил мой интерес, конечно, я хочу гарантировать целостность своей ОС, обрисованной в общих чертах здесь. Предположим...
  • 0
    Разница между владельцем и группой 24.03.2021
    Можем ли мы считать владельцем группу, состоящую ровно из 1 участника? Обладает ли владелец какими-либо особыми способностями помимо данных разрешений? Я хочу иметь двух равных пользователей с одинаковыми правами в...
  • 5
    Установка ulimit правильно для PHP на Linux 18.12.2013
    У меня есть набор/etc/security/limits.conf к следующему: никто мягкий nofile 409600 никто трудно nofile 1024000 phpuser мягкий nofile 409600 phpuser твердый nofile 1024000 httpd мягкий nofile 409600 httpd трудно...
  • 112
    Защищен ли Vim от атак копирования и вставки? 04.04.2017
    Вы никогда не должны вставлять данные из Интернета в свой терминал. Вместо этого вы должны вставить в текстовый редактор, проверить команду и затем вставить в терминал. Это нормально, но что, если Vim - мой текстовый редактор? Может ...
  • 0
    Какой runlevel является лучшим для Linux (Debian) сервер (DBMS/SCM)? 27.12.2013
    Я в настоящее время пытаюсь укрепить систему и безопасность сервера Debian, выполняющего базу данных и управление исходным кодом. Я просто хочу объединиться в сеть и меня (один пользователь), чтобы смочь войти в систему. Какой runlevel...