O malware executado por um usuário sem privilégios de administrador ou sudo pode prejudicar meu sistema? [fechadas]

A maioria dos usuários normais pode enviar e-mail, executar utilitários do sistema e criar soquetes de rede ouvindo em portas mais altas. Isso significa que um invasor poderia

• enviar e-mails de spam ou phishing,
• explora qualquer configuração incorreta do sistema visível apenas no sistema (pense em arquivos de chave privada com permissões de leitura permissivas),
• configure um serviço para distribuir conteúdo arbitrário (por exemplo, porn torrent).

O que exatamente isso significa depende da sua configuração. Por exemplo. o invasor pode enviar e-mails parecendo que vieram da sua empresa e abusar da reputação de seus servidores; ainda mais se os recursos de autenticação de e-mail como o DKIM foram configurados. Isso funciona até que o representante do seu servidor esteja corrompido e outros servidores de e-mail comecem a bloquear o IP / domínio.

De qualquer forma, a restauração do backup é a escolha certa.

A maioria das respostas não contém as duas palavras-chave: escalação de privilégios . . p>

Um invasor tem acesso a uma conta sem privilégios, é muito mais fácil para eles explorar bugs no sistema operacional e bibliotecas para obter acesso privilegiado ao sistema. Você não deve presumir que o invasor usou apenas o acesso sem privilégios que eles obtiveram originalmente.

Um rm -rf ~ ou algo parecido seria bastante catastrófico e você não precisa de privilégios de root.

Ransomware

Não se aplica à sua situação, já que você teria notado isso, mas para os ataques de ransomware um tanto populares hoje em dia (criptografando todos os seus documentos e oferecendo a chave de decodificação) é completamente suficiente ter acesso sem privilégios.

Não é possível modificar arquivos do sistema, mas a reconstrução de um sistema a partir do zero é simples, comparada à recuperação de dados valiosos do usuário (documentos comerciais, imagens de família etc.) de backups que geralmente são obsoletos ou inexistentes.

Mais comum (no meu POV, da minha experiência):

• Enviando spam

• Enviando mais spam

• Infectando outros computadores

• Configurar sites de phishing

• ...

Um vírus pode infectar todas as máquinas na sua rede LAN e elevar o privilégio de obter o acesso root wiki-Privilege_escalation

Privilege escalation is the act of exploiting a bug, design flaw or configuration oversight in an operating system or software application to gain elevated access to resources that are normally protected from an application or user. The result is that an application with more privileges than intended by the application developer or system administrator can perform unauthorized actions.

Muitas possibilidades em potencial me vêm à mente:

• Negação de serviço: pode estar em sua máquina ou mais provável, use sua máquina para atacar uma segunda com o custo de seus próprios recursos.
• Minhas bitcoins. Usando sua CPU para conseguir dinheiro parece bastante atraente
• Se o navegador estiver vulnerável, ele tentará redirecioná-lo para todos os tipos de sites, instalará barras ou mostrará pop-ups que gerarão receita. strongmente isso parece mais difícil no Linux ou os spammers não são tão bons nisso.
• Obtenha dados privados para uso comercial e venda para outros. Somente para o usuário comprometido: data de nascimento, telefone, se estiver no cache do navegador.
• Acesse outros arquivos no servidor que possam ser lidos.
• Crie scripts maliciosos que possam solicitar a senha de root. Por exemplo, no seu bash eles podem tentar redirecionar o sudo para outras coisas para obter sua senha.
• Obtendo suas senhas armazenadas no navegador ou tente digitar suas credenciais bancárias. Isso pode ser mais difícil, mas certamente será perigoso. Com o gmail eles podem obter o facebook, roubar sua conta de vapor, amazon, etc.
• Instale certificados maliciosos como válidos para seu usuário

Claro que este é um cenário pior, então não entre em pânico. Algumas delas podem ser bloqueadas por outras medidas de segurança e não serão nada triviais.

Informação ^[1]

IMHO uma das coisas mais assustadoras que uma façanha pode fazer é coletar informações e permanecer escondida para voltar e atacar quando sua atenção for menor (cada noite ou período de férias será adequado). Os seguintes são apenas os primeiros motivos que surgem em minha mente, você pode adicionar outros e outros ...

• Informações sobre os serviços que você está executando, sua versão e seus pontos fracos, com atenção especial para o obsoleto que você pode precisar manter vivo por motivos de compatibilidade.
• Periodicidade com a qual você os atualiza e as correções de segurança. Para sentar na frente de um boletim e esperar o momento certo para tentar voltar.
• Os hábitos de seus usuários, para aumentar menos suspeitas quando for.
• As defesas que você configurou.
• Se obtido até mesmo um acesso root parcial, o ssh-keys , hosts autorizados e as senhas neste e em outros computadores para cada usuário ( vamos supor que alguém tenha executado um comando com a senha passada como parâmetro, nem sequer é necessário o privilégio de root). Foi possível escanear a memória e extraí-la. Repito: nos dois sentidos, na sua máquina e na sua máquina. Com a autorização ssh de 2 faces entre duas máquinas, elas podem continuar a entrar e sair da conta comprometida.

Portanto, achate essa máquina e monitore as futuras senhas e chaves, por esses motivos acima e todos os outros que você pode ler nas outras respostas.

^{[1] Citando não literalmente Hitchcock: "Um tiro de uma arma dura um momento, mas uma mão empunhando uma arma pode durar um filme completo"}