管理者権限またはsudo権限のないユーザーがマルウェアを実行すると、システムに損害を与える可能性がありますか？[閉まっている]

Linuxを実行しているマシンに最近侵入した後、弱いパスワードを持つユーザーのホームフォルダーに実行可能ファイルが見つかりました。すべての損傷と思われるものをクリーンアップしましたが、確実に完全なワイプを準備しています。

非sudoまたは非特権ユーザーが実行できるマルウェアは何ですか？感染するための世界書き込み可能な許可でマークされたファイルを探しているだけですか？管理者以外のユーザーがほとんどのLinuxシステムで実行できる脅威は何ですか？この種のセキュリティ侵害が引き起こす現実の問題の例をいくつか提供できますか？

ほとんどの通常のユーザーは、メールを送信し、システムユーティリティを実行し、より高いポートでリッスンするネットワークソケットを作成できます。これは、攻撃者が

• スパムまたはフィッシングメールを送信する、
• システム内からのみ表示されるシステムの誤設定を悪用する（許可された読み取り権限を持つ秘密鍵ファイルを考えてください）
• 任意のコンテンツ（ポルノトレントなど）を配信するサービスを設定します。

これが正確に何を意味するかは、設定​​によって異なります。たとえば、攻撃者は会社から来たように見えるメールを送信し、サーバーのメール評判を悪用する可能性があります。DKIMなどのメール認証機能が設定されている場合はさらにそうです。これは、サーバーの担当者が汚染し、他のメールサーバーがIP /ドメインをブラックリストに登録するまで動作します。

いずれにしても、バックアップからの復元は正しい選択です。

ほとんどの答えには、特権エスカレーションという2つのキーワードがありません。

攻撃者が特権のないアカウントにアクセスすると、オペレーティングシステムとライブラリのバグを悪用してシステムへの特権アクセスを取得するのがはるかに簡単になります。攻撃者が最初に取得した非特権アクセスのみを使用したと想定するべきではありません。

A rm -rf ~または同様なものはかなり致命的なことでしょう、そしてあなたは、root権限は必要ありません。

ランサムウェア

気づいているかもしれないので、状況には当てはまりませんが、最近では、ランサムウェアの攻撃がある程度一般的です（すべてのドキュメントを暗号化し、復号化キーを販売することを申し出ています）ため、非特権アクセスがあれば十分です。

システムファイルを変更することはできませんが、一般的に古いまたは存在しないバックアップから貴重なユーザーデータ（ビジネスドキュメント、家族の写真など）を回復するのに比べて、システムを最初から再構築するのは簡単です。

最も一般的な（私のPOVでは、私の経験から）：

• スパムを送信する

• より多くのスパムを送信する

• 他のコンピューターへの感染

• フィッシングサイトを設定する

• ...

ウイルスは、LANネットワーク内のすべてのマシンに感染し、ルートアクセスwiki-Privilege_escalationを取得するために権限を昇格させる可能性があります

権限昇格とは、オペレーティングシステムまたはソフトウェアアプリケーションのバグ、設計上の欠陥、または構成の監視を悪用して、通常はアプリケーションまたはユーザーから保護されているリソースへの昇格したアクセスを取得する行為です。その結果、アプリケーション開発者またはシステム管理者が意図したよりも多くの特権を持つアプリケーションは、不正なアクションを実行できます。

多くの潜在的な可能性が頭に浮かぶ：

• サービス拒否：マシン上にある可能性が高いか、可能性が高いため、マシンを使用して2つ目のマシンを攻撃しますが、リソースを犠牲にします。
• 私のビットコイン。CPUを使ってお金を稼ぐのは十分に魅力的だ
• ブラウザが脆弱な場合、彼らはあらゆる種類のサイトへのリダイレクト、バーのインストール、または収益をもたらすポップアップの表示を試みます。幸いなことに、これはLinuxでより困難に思われるか、スパマーはこれが得意ではありません。
• 営利目的で使用する個人データを取得し、他の人に販売します。侵害されたユーザーのみ：生年月日、電話（ブラウザキャッシュにある場合）。
• サーバー内の他の読み取り可能なファイルにアクセスします。
• rootパスワードを要求する可能性のある悪意のあるスクリプトを作成します。たとえば、bashでは、sudoを他のものにリダイレクトしてパスワードを取得しようとする場合があります。
• ブラウザに保存されたパスワードを取得するか、銀行の認証情報をキーログしてみてください。これは難しいかもしれませんが、確かに危険です。Gmailを使用すると、Facebookを入手したり、スチームアカウントやアマゾンなどを盗んだりできます。
• ユーザーに有効な悪意のある証明書をインストールする

もちろんこれは最悪のシナリオなので、パニックに陥らないでください。これのいくつかは、他のセキュリティ対策によってブロックされている可能性があり、まったく些細なことではありません。

情報^[1]

悪用ができる最も恐ろしいことの1つは、情報を収集し、あなたの注意が減ると戻ってきて攻撃するために隠されたままになることです（毎晩または休日の期間が適切です）。
以下は、私の頭に浮かぶ最初の理由に過ぎません。他の人や他の人を追加できます...

• 実行中のサービス、それらのバージョン、およびそれらの弱点に関する情報。互換性の理由で生かしておく必要のある古いサービスに特に注意してください。
• それらとセキュリティパッチを更新する周期。速報の前に座って、戻ってくるために適切な瞬間を待つ。
• ユーザーの習慣、そうなると疑わしい人を減らすため。
• 防御は、あなたが設定します。
• 部分的なルートアクセスさえ取得された場合、ssh-keys、許可されたホスト、および各ユーザーのこのマシンおよび他のマシン上のパスワードにアクセスします（パラメーターとして渡されたパスワードを使用して誰かがコマンドを実行した場合、ルート権限さえ必要ありません）。メモリをスキャンして抽出することができました。もう一度言います。両方の方法で、あなたのマシンへ、そしてあなたのマシンから。2台のマシン間の2面ssh認証により、侵害されたアカウントに出入りし続けることができます。

したがって、上記のこれらの理由と、他の回答から読み取ることができる他のすべての理由のために、そのマシンをフラット化し、将来のパスワードとキーを監視します。

^{[1]文字通りヒッチコックではない引用：「銃のショットは一瞬続くが、武器を振るう手は完全な映画に続くことができる」}