Link simbólico na forma de usuá[email protected]: 144780xxxx

Navegue suas respostas
1

Acabei de notar um link simbólico chamado # tmp.tmp # no meu diretório home (não criado por mim) e ele apontou para [email protected]: 177780xxxx onde x são números adicionais.

Uma pesquisa no google revelou que o 6912 é uma porta usada pelo Trojan etc. Eu apaguei o symlink e confirmei que a porta 6912 está fechada. Mas, no entanto, acredito que meu sistema pessoal pode ter sido comprometido. Eu não coleciono logs, pois é um sistema pessoal com HD limitado. Eu executei uma varredura clamav no meu diretório inicial e nenhuma infecção foi detectada. Atualmente executando uma varredura no meu diretório raiz.

Eu não uso o sistema com privilégios de root e executo comandos elevados apenas com o sudo.

Eu gostaria de receber algumas orientações da comunidade sobre as seguintes crenças ou perguntas:

  1. Desde que eu não uso o sistema com privilégios de root. O mais provável é que os únicos arquivos adulterados estejam em meu diretório pessoal?
  2. Uma porta pode ser aberta para comunicação sem privilégios de root?
  3. É possível rever o conteúdo do arquivo 177780xxxx?
  4. Estou lendo esta situação incorretamente?

Obrigado pela ajuda!

EDITAR: Acontece [email protected]: 177780xxxx não é realmente uma coisa ruim. Na verdade, é o comportamento pretendido do Emacs ( link ) ao criar arquivos temporários. O formato do link simbólico é [email protected]: someestringofnumbers. Acontece que o número 6912 coincidiu muito bem com alguns posts do trojan em uma pesquisa no google. Ai de mim, pois acabei de completar toda uma restauração do sistema !!

    
por vsoda 22.11.2015 / 09:31

2 respostas

1

Executar comandos do usuário como usuário normal (e não raiz) é bom, mas não é o único fator que influencia a segurança do seu sistema.

Outros fatores importantes são:

  • executando uma distribuição do Linux que ainda está no ciclo de suporte, ou seja, onde as vulnerabilidades ainda são abordadas com atualizações de pacotes
  • aplicando atualizações relacionadas à segurança em tempo hábil
  • desativando pesadelos de segurança bem conhecidos: por exemplo, o plug-in do navegador Flash, o plug-in do navegador Java, o plug-in do navegador Adobe PDF
  • instalando um bloqueador de anúncios como o AdBlock Plus - porque as redes de anúncios costumam ser usadas para distribuir malware (por exemplo, explorando bugs do navegador)
  • se você estiver executando sshd: desativando a autenticação de senha em sshd (alterne para a autenticação de chave pública em vez disso), caso contrário, as script-kiddies poderão adivinhar sua senha

Mesmo se você estiver usando seu sistema como usuário normal na maioria das vezes, um invasor pode usar alguns exploits para obter privilégios de root.

Por padrão, um processo de usuário irrestrito pode abrir qualquer porta acima de 1023.

Se você suspeitar de um sistema comprometido, faça o seguinte:

  • desligue imediatamente
  • use outro sistema limpo para conectar as unidades de disco a - para criar imagens dos discos - essas imagens podem ser usadas (somente leitura) para forense e / ou para resgatar alguns dados do usuário no caso de seu último backup regular ser muito antigo
  • limpe a tabela de partições, setor de inicialização, etc. de suas possíveis unidades comprometidas
  • obtenha uma imagem de instalação para sua distribuição do Linux de uma fonte confiável - por exemplo, baixá-lo de uma máquina limpa e verificar seus checksums e assinaturas
  • instale seu sistema com essa imagem

Se você se preocupa com a segurança, pode escolher uma distribuição Linux que tenha controle de acesso obrigatório (MAC) ativado por padrão - por exemplo Fedora ou CentOS (eles usam SELinux ). O MAC é capaz de tornar algumas classes de exploits ineficazes.

    
por 22.11.2015 / 10:20
0

Além da resposta anterior re query 1 ... Veja outro MAC: o tempo MAC - o tempo Modificado, Acessado e Alterado / Criado do link simbólico que você encontrou e então procure por outros arquivos e pastas com o mesmo ou tempos modificados semelhantes. Nota Estes horários podem ser alterados usando utilitários como o Stomp.

Pode ajudar a ajudá-lo a saber como o ataque aconteceu. Por exemplo, você poderia ter visitado um site mal-intencionado no momento e, inadvertidamente, ajudado a instalar um cavalo de Tróia.

Além disso, o provável caminho de ataque seria ganhar uma posição no seu host e, em seguida, procurar escalar privilégios para o root. Embora eu tenha visto invasores ignorando a caixa comprometida internamente e use a caixa para atacar outros hosts na Internet.

Existem várias maneiras de usar um arquivo sudoers configurado incorretamente para escalar a raiz e, portanto, o uso do Sudo fornece uma medida de proteção, não é difícil obter uma falsa sensação de segurança se ele tiver sido configurado incorretamente, por exemplo, se um invasor obtiver acesso a uma conta de usuário que possa executar o comando ...

sudo / usr / bin / vi

eles podem usar comandos no vi como: e ou control o e use: w para acessar / etc / shadow e ter a chance de quebrar a senha criptografada do root.

    
por 22.11.2015 / 17:43

Tags

Lembrando configurações do monitor externo Configurando o Getty para terminal de hardware