Как руткиты становятся установленными на сервере человечности?
Я видел несколько сообщений при проверке руткиты, но не смог найти любую информацию о том, как они добираются на систему Linux. В особенности, если Вы используете ошибку на php веб-сайте (да, я говорю о drupageddon здесь), это возможный установить руткит даже при том, что можно только работать как веб-сервер (www-данные) и не как корень. Очень мало информации, которую я нашел о том, как они установлены, предлагает, чтобы Вы были корнем для установки их (см. здесь).
2 ответа
Если бы это был я, я бы использовал следующий метод:
- Получить пользователя, чтобы загрузить и установить часть программного обеспечения (# 1). Пусть это программное обеспечение установит необходимое программное обеспечение. Скрытие двоичного объекта внутри этого приложения позволяет загружать программное обеспечение (т. Е. Инструмент, который вы можете использовать для ftp, wget и т. Д.).
- Запросите учетную запись администратора (# 2) и используйте ее, чтобы использовать экземпляр ftp, wget для загрузки и установки руткита.
Относительно # 1: пользователь никогда не должен загружать случайное программное обеспечение при использовании Linux; используйте соответствующие каналы (Ubuntu Software Center) для установки программного обеспечения. Если это программное обеспечение необходимо загружать за пределы соответствующих каналов, убедитесь, что источнику загрузки можно доверять. Вспомните последние версии программного обеспечения Apache или MySQL. Не стоит загружать случайное программное обеспечение, не проверяя различные социальные сети на предмет целостности этого приложения. Microsoft никогда не централизовала программное обеспечение; это привело к тому, что многие люди занимались программным обеспечением, поэтому их пользовательская база огромна, но это также позволило легко войти в компьютеры и начать сбор данных, которые они могут продать.
Относительно № 2: фатальный недостаток пользователя. Никогда и никогда не вводите свой пароль администратора, если вы не знаете, почему его спрашивают.
Да, в общем корневом разрешении требуются, чтобы устанавливать руткит. Многие руткиты содержат модуль, который загружается в ядро, другой просто инструмент перезаписи, обычно используемый корнем. В правильно установленной и идеальной системе не было бы никакого способа установить корневой набор без полномочий пользователя root, но...
... могли бы быть проблемы с конфигурацией системы, делающей систему, небезопасную.... могли бы быть ошибки безопасности, которые позволяют расширение полномочий... могли бы быть способы обмануть пользователя с корневыми полномочиями выполнить что-то злое.
пути так же неограниченны как воображение злоумышленника.