Welche Möglichkeiten gibt es, lokale Prozesse in Linux-Systemen anzugreifen?

Die Angriffsmethoden für lokale Prozesse in Linux-Systemen umfassen: 1. Denial-of-Service-Angriff (DOS); 2. Lokale Benutzer erhalten Lese- und Schreibberechtigungen für nicht autorisierte Dateien; 4. Remote-Benutzer erhalten Lese- und Schreibberechtigungen für privilegierte Dateien; . Remote-Benutzer erhalten Root-Zugriff.

Die Betriebsumgebung dieses Tutorials: Windows 10-System, Dell G3-Computer.

Wie kann man den lokalen Prozess des Linux-Systems angreifen?

Linux-System Mit der Erweiterung der Linux-Unternehmensanwendungen gibt es eine große Anzahl von Netzwerkservern, die das Linux-Betriebssystem verwenden. Der Sicherheitsleistung von Linux-Servern wird immer mehr Aufmerksamkeit geschenkt. Hier listen wir die Linux-Server in Stufen entsprechend der Angriffstiefe auf und schlagen verschiedene Lösungen vor.

Die Definition eines Linux-Serverangriffs lautet: Ein Angriff ist ein unbefugtes Verhalten, das darauf abzielt, die Sicherheit eines Linux-Servers zu behindern, zu beschädigen, zu schwächen oder zu zerstören. Angriffe können von Denial-of-Service bis zur vollständigen Kompromittierung und Zerstörung eines Linux-Servers reichen. Es gibt viele Arten von Angriffen auf Linux-Server. In diesem Artikel werden die Angriffe aus der Perspektive der Angriffstiefe in vier Ebenen unterteilt.

Angriffsstufe 1, Denial-of-Service-Angriff (DOS)

Aufgrund der Verbreitung von DOS-Angriffstools und der Tatsache, dass die Schwachstellen in der angegriffenen Protokollschicht nicht in kurzer Zeit behoben werden können, ist DOS am weitesten verbreitet und die am schwierigsten zu verhindernde Angriffsmethode.

Service-Denial-of-Service-Angriffe umfassen verteilte Denial-of-Service-Angriffe, reflektierende verteilte Denial-of-Service-Angriffe, verteilte DNS-Denial-of-Service-Angriffe, FTP-Angriffe usw. Die meisten Denial-of-Service-Angriffe stellen relativ geringe Gefahren dar, und selbst solche, die einen Systemneustart verursachen könnten, sind nur vorübergehende Probleme. Diese Art von Angriff unterscheidet sich weitgehend von Angriffen, bei denen es darum geht, die Kontrolle über das Netzwerk zu erlangen. Im Allgemeinen hat dies keine Auswirkungen auf die Datensicherheit, doch Denial-of-Service-Angriffe dauern lange und sind sehr schwer zu bewältigen.

Bisher gibt es keine absolute Möglichkeit, diese Art von Angriff zu stoppen. Dies bedeutet jedoch nicht, dass wir uns zurücklehnen und davon profitieren sollten. Neben der Betonung der Bedeutung der Stärkung des Schutzes persönlicher Hosts vor Ausnutzung ist die Stärkung der Serververwaltung ein sehr wichtiger Teil. Es müssen Verifizierungssoftware und Filterfunktionen installiert werden, um die wahre Adresse der Quelladresse der Nachricht zu überprüfen. Darüber hinaus können bei verschiedenen Arten von Dienstverweigerungen folgende Maßnahmen ergriffen werden: Schließen unnötiger Dienste, Begrenzen der Anzahl gleichzeitig geöffneter Syn-Halbverbindungen, Verkürzen der Zeitspanne für Syn-Halbverbindungen und Aktualisieren von Systempatches in a rechtzeitig.

Angriffsstufe 2: Ein lokaler Benutzer hat sich unautorisierte Lese- und Schreibberechtigungen für Dateien verschafft.

Ein lokaler Benutzer bezieht sich auf einen Benutzer, der auf einem beliebigen Computer im lokalen Netzwerk über ein Kennwort verfügt und daher über ein Verzeichnis auf einem bestimmten Laufwerk verfügt. Ob das Problem, dass lokale Benutzer Lese- und Schreibrechte für Dateien erhalten, für die sie nicht autorisiert sind, ein Risiko darstellt, hängt weitgehend von der Kritikalität der Dateien ab, auf die zugegriffen wird. Für jeden lokalen Benutzer ist es gefährlich, ungehindert auf das temporäre Dateiverzeichnis (/tmp) zuzugreifen, was möglicherweise den Weg zur nächsten Angriffsebene ebnen kann.

Die Hauptangriffsmethode auf Ebene zwei ist: Hacker bringen legitime Benutzer dazu, ihnen vertrauliche Informationen mitzuteilen oder Aufgaben auszuführen. Manchmal geben sich Hacker als Netzwerkmanager aus und senden E-Mails an Benutzer, in denen sie Benutzer auffordern, ihnen Passwörter für System-Upgrades zu geben.

Angriffe, die von lokalen Benutzern initiiert werden, beginnen fast immer mit der Remote-Anmeldung. Für Linux-Server besteht der beste Ansatz darin, alle Shell-Konten auf einem separaten Computer zu platzieren, d. h. nur Registrierungen auf einem oder mehreren Servern zu akzeptieren, denen Shell-Zugriff zugewiesen wurde. Dadurch können Protokollverwaltung, Zugriffskontrollverwaltung, Freigabeprotokolle und andere potenzielle Sicherheitsprobleme einfacher verwaltet werden. Das System, das Benutzer-CGI speichert, sollte ebenfalls unterschieden werden. Diese Maschinen sollten in bestimmten Netzwerksegmenten isoliert sein, das heißt, sie sollten je nach Konfiguration des Netzwerks von Routern oder Netzwerk-Switches umgeben sein. Die Topologie sollte sicherstellen, dass Hardware-Adress-Spoofing nicht über diese Zone hinausgehen kann.

Angriffsstufe 3: Der Remote-Benutzer erhält Lese- und Schreibberechtigungen für privilegierte Dateien.

Die dritte Angriffsstufe kann nicht nur überprüfen, ob bestimmte Dateien vorhanden sind, sondern diese Dateien auch lesen und schreiben. Der Grund für diese Situation sind einige Schwachstellen in der Linux-Serverkonfiguration: Remote-Benutzer können ohne gültiges Konto eine begrenzte Anzahl von Befehlen auf dem Server ausführen.

Passwort-Angriffsmethode ist die Hauptangriffsmethode auf der dritten Ebene, und die Beschädigung des Passworts ist die häufigste Angriffsmethode. Als Passwort-Cracking bezeichnet man das Eindringen in ein Netzwerk, ein System oder eine Ressource mit oder ohne den Einsatz von Tools zum Entsperren passwortgeschützter Ressourcen. Benutzer vernachlässigen oft ihre Passwörter und Passwortrichtlinien sind schwer durchzusetzen. Hacker verfügen über eine Vielzahl von Werkzeugen, um die durch Technologie und Gesellschaft geschützten Passwörter zu umgehen. Dazu gehören hauptsächlich: Wörterbuchangriff (Wörterbuchangriff), Hybridangriff (Hybridangriff), Brute-Force-Angriff (Brute-Force-Angriff). Sobald ein Hacker das Passwort eines Benutzers hat, verfügt er über viele Berechtigungen des Benutzers. Unter Passwort-Erraten versteht man die manuelle Eingabe eines gemeinsamen Passworts oder den Erhalt des Passworts über die Originalkopie eines programmierten Programms. Einige Benutzer wählen einfache Passwörter – etwa Geburtstage, Jahrestage und die Namen des Ehepartners –, befolgen jedoch nicht die Regel, eine Mischung aus Buchstaben und Zahlen zu verwenden. Es dauert nicht lange, bis ein Hacker eine achtstellige Geburtstagszahl errät.

Die beste Verteidigung gegen Level-3-Angriffe besteht darin, die Zugriffsrechte streng zu kontrollieren, also gültige Passwörter zu verwenden.

Enthält hauptsächlich die Regeln, dass Passwörter der gemischten Verwendung von Buchstaben, Zahlen sowie Groß- und Kleinschreibung folgen sollten (da Linux zwischen Groß- und Kleinschreibung unterscheidet).

Die Verwendung von Sonderzeichen wie „#“, „%“ oder „$“ erhöht ebenfalls die Komplexität. Nehmen Sie zum Beispiel das Wort „countbak“, fügen Sie danach „#$“ (countbak#$) hinzu, und Sie haben ein ziemlich effektives Passwort.

Angriffsstufe vier: Der Remote-Benutzer erhält Root-Rechte.

Die vierte Angriffsstufe bedeutet, dass Dinge passieren, die niemals passieren sollten. Dies ist ein tödlicher Angriff. Zeigt an, dass der Angreifer über Root-, Superuser- oder Administratorrechte auf dem Linux-Server verfügt und alle Dateien lesen, schreiben und ausführen kann. Mit anderen Worten: Der Angreifer hat die volle Kontrolle über den Linux-Server und kann das Netzwerk jederzeit komplett lahmlegen oder sogar zerstören.

Die Hauptangriffsformen der Angriffsstufe vier sind kontinuierlicher TCP/IP-Diebstahl, passives Kanalhören und Paketabfangen. TCP/IP-Seriendiebstahl, passives Kanalhören und Paketabfangen sind Methoden zum Sammeln wichtiger Informationen für den Zugang zum Netzwerk. Im Gegensatz zu Denial-of-Service-Angriffen haben diese Methoden eher diebstahlähnlichen Eigenschaften und sind verdeckter und schwerer zu erkennen.

Ein erfolgreicher TCP/IP-Angriff ermöglicht es einem Hacker, Transaktionen zwischen zwei Gruppen zu blockieren, was eine gute Gelegenheit für einen Man-in-the-Middle-Angriff bietet, bei dem der Hacker dann die Transaktionen einer oder beider Parteien kontrollieren kann, ohne dass das Opfer es bemerkt . Durch passives Abhören manipulieren und registrieren Hacker Informationen, liefern Dateien und finden passierbare kritische Punkte auf allen passierbaren Kanälen des Zielsystems. Hacker suchen nach dem Verbindungspunkt zwischen der Verbindung und dem Passwort, um den legitimen Kanal zu identifizieren. Beim Abfangen von Paketen wird ein aktives Listener-Programm auf einem Zielsystem darauf beschränkt, alle oder bestimmte Nachrichten abzufangen und umzuleiten. Informationen können zum Auslesen auf illegale Systeme umgeleitet und dann unverändert an Hacker zurückgesendet werden.

TCP/IP-Kontinuierlicher Diebstahl ist eigentlich Netzwerk-Sniffing. Wenn Sie sicher sind, dass jemand einen Sniffer mit Ihrem Netzwerk verbunden hat, können Sie einige Überprüfungstools finden. Dieses Werkzeug wird als Time Domain Reflectometer (TDR) bezeichnet. TDR misst die Ausbreitung und Veränderungen elektromagnetischer Wellen. Durch den Anschluss eines TDR an das Netzwerk können nicht autorisierte Geräte erkannt werden, die auf Netzwerkdaten zugreifen. Allerdings verfügen viele kleine und mittelständische Unternehmen nicht über solch teure Tools.

Der beste Weg, Sniffer-Angriffe zu verhindern, ist:

1. Sichere Topologie. Der Sniffer kann nur Daten zum aktuellen Netzwerksegment erfassen. Das bedeutet: Je detaillierter Sie Ihr Netzwerk segmentieren, desto weniger Informationen kann ein Sniffer sammeln.

2. Sitzungsverschlüsselung. Machen Sie sich keine besonderen Gedanken über die Daten, die erfasst werden, sondern finden Sie eine Möglichkeit, dafür zu sorgen, dass der Sniffer die erfassten Daten nicht erkennt. Der Vorteil dieser Vorgehensweise liegt auf der Hand: Selbst wenn der Angreifer die Daten ausspioniert, nützen ihm die Daten nichts.

Besonderer Hinweis: Gegenmaßnahmen zur Bewältigung von Angriffen

Sie müssen besonders auf Angriffe achten, die über die zweite Stufe hinausgehen. Denn sie können das Angriffsniveau zum Eindringen in Linux-Server kontinuierlich erhöhen. Zu diesem Zeitpunkt können wir folgende Gegenmaßnahmen ergreifen:

Erstens: Sichern Sie wichtige Schlüsseldaten des Unternehmens.

Ändern Sie alle Passwörter im System und benachrichtigen Sie die Benutzer, den Systemadministrator aufzusuchen, um neue Passwörter zu erhalten.

Isolieren Sie das Netzwerksegment, sodass das Angriffsverhalten nur in einem kleinen Bereich auftritt.

Lassen Sie zu, dass das Verhalten anhält. Wenn möglich, beeilen Sie sich nicht, den Angreifer aus dem System zu entfernen, und bereiten Sie sich auf den nächsten Schritt vor.

Zeichnen Sie alle Aktionen auf und sammeln Sie Beweise. Zu diesen Beweisen gehören: Systemanmeldedateien, Anwendungsanmeldedateien, AAA-Anmeldedateien (Authentifizierung, Autorisierung, Buchhaltung, Authentifizierung, Autorisierung, Buchhaltung), RADIUS-Anmeldung (Remote Authentication Dial-In User Service), Netzwerkelementprotokolle (Network Element Logs). Firewall-Anmeldung, HIDS-Ereignisse (Host-base IDS, Host-based Intrusion Detection System), NIDS-Ereignisse (Network Intrusion Detection System), Festplatten, versteckte Dateien usw.

Seien Sie beim Sammeln von Beweisen vorsichtig: Machen Sie Fotos, bevor Sie Geräte bewegen oder demontieren. Befolgen Sie bei den Ermittlungen die Zweierregel und lassen Sie mindestens zwei Personen Informationen sammeln, um eine Manipulation von Informationen zu verhindern. Ebenso sollten alle durchgeführten Änderungen dokumentiert werden Wenn Sie Konfigurationseinstellungen vornehmen möchten, bewahren Sie diese an einem sicheren Ort auf. Überprüfen Sie die Zugriffsberechtigungen aller Verzeichnisse im System und stellen Sie fest, ob die Permslist geändert wurde.

Machen Sie verschiedene Versuche (unter Verwendung verschiedener Teile des Netzwerks), um die Quelle des Angriffs zu identifizieren.

Um legale Waffen zur Verbrechensbekämpfung einzusetzen, müssen Beweise gesichert werden, und es braucht Zeit, um Beweise zu sammeln. Um dies zu erreichen, muss die Hauptlast des Angriffs ertragen werden (obwohl einige Sicherheitsmaßnahmen ergriffen werden können, um sicherzustellen, dass der Angriff dem Netzwerk keinen Schaden zufügt). In diesem Fall müssen wir nicht nur einige rechtliche Maßnahmen ergreifen, sondern auch mindestens ein seriöses Sicherheitsunternehmen bitten, bei der Verhinderung dieses Verbrechens zu helfen. Das wichtigste Merkmal dieser Art von Operation ist die Beschaffung von Beweisen für eine Straftat, die Ermittlung der Adresse des Täters und die Bereitstellung der im Besitz befindlichen Protokolle. Die gesammelten Beweise sollten effektiv aufbewahrt werden. Fertigen Sie zu Beginn zwei Kopien an, eine zur Beweiswürdigung und eine zur rechtlichen Überprüfung.

Nachdem Sie die Systemschwachstelle gefunden haben, versuchen Sie, sie zu blockieren und einen Selbstangriffstest durchzuführen.

Cybersicherheit ist nicht mehr nur ein technisches Problem, sondern ein soziales Problem. Unternehmen sollten der Netzwerksicherheit mehr Aufmerksamkeit schenken, wenn sie sich blind nur auf technische Tools verlassen. Nur wenn sie soziale und rechtliche Aspekte zur Bekämpfung von Cyberkriminalität nutzen, können sie effektiver sein. Unser Land hat eine klare juristische Interpretation des Kampfes gegen Cyberkriminalität. Leider konzentrieren sich die meisten Unternehmen nur auf die Rolle technischer Verbindungen und ignorieren rechtliche und soziale Faktoren.

Begriffserklärung: Denial of Service Attack (DOS)

DOS ist Denial Of Service, die Abkürzung für Denial of Service. Es kann nicht als das DOS-Betriebssystem von Microsoft betrachtet werden! Ein DOS-Angriff führt dazu, dass der Zielcomputer keine Dienste mehr bereitstellt oder keinen Ressourcenzugriff mehr bereitstellt, normalerweise mit dem Ziel, serverseitige Ressourcen zu verbrauchen. Durch die Fälschung von Anforderungsdaten, die die Verarbeitungskapazitäten des Servers überschreiten, wird die Serverantwort blockiert, sodass normale Benutzeranforderungen nicht möglich sind reagierte, um den Angriffszweck zu erreichen.

Weitere Informationen zu diesem Thema finden Sie in der Spalte „FAQ“!

Das obige ist der detaillierte Inhalt vonWelche Möglichkeiten gibt es, lokale Prozesse in Linux-Systemen anzugreifen?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!