แน่นอนว่าเราสามารถพูดแบบนั้นได้ ลินุกซ์มากกว่า ปลอดภัย(ป้องกัน) มากกว่า Windows ความปลอดภัยวี ลินุกซ์ในตัวและไม่ได้ขันสกรูไว้ที่ด้านข้าง เช่นเดียวกับที่ใช้ใน Windows ความปลอดภัยระบบ ลินุกซ์ครอบคลุมพื้นที่ตั้งแต่เคอร์เนลไปจนถึงเดสก์ท็อป แต่มีโอกาสที่แฮกเกอร์จะสร้างความเสียหายให้กับโฮมไดเร็กตอรี่ของคุณ (/home)

จำนวนภาพถ่าย โฮมวิดีโอ เอกสาร และข้อมูลบัตรเครดิตหรือกระเป๋าเงินของคุณเป็นข้อมูลที่มีค่าที่สุดที่มีอยู่ในคอมพิวเตอร์ แน่นอนว่า Linux ไม่ไวต่อเวิร์มอินเทอร์เน็ตและไวรัสทุกชนิดสำหรับ Windows แต่ผู้โจมตีอาจพบวิธีเข้าถึงข้อมูลของคุณในโฮมไดเร็กตอรี่ของคุณ

เตรียมคอมพิวเตอร์เครื่องเก่าของคุณหรือ ฮาร์ดดิสฟอร์แมตก่อนขาย คิดว่าจะพอมั้ย? มีเครื่องมือที่ทันสมัยมากมายสำหรับการกู้คืนข้อมูล แฮกเกอร์สามารถกู้คืนข้อมูลของคุณได้อย่างง่ายดาย ฮาร์ดไดรฟ์โดยไม่คำนึงถึงระบบปฏิบัติการที่คุณใช้งาน

ในหัวข้อนี้ ฉันจำประสบการณ์ของบริษัทแห่งหนึ่งในการซื้อคืนคอมพิวเตอร์และดิสก์ที่ใช้แล้ว ในระหว่างกิจกรรม พวกเขาตัดสินว่า 90% ของเจ้าของคอมพิวเตอร์คนก่อนไม่ได้ดูแลทำความสะอาดสื่อบันทึกข้อมูลอย่างเหมาะสมก่อนที่จะขาย และพวกเขาก็ดึงข้อมูลจำนวนไบต์ที่ละเอียดอ่อนมากออกมา มันน่ากลัวที่จะจินตนาการว่าที่ไหนสักแห่งในถังขยะของฮาร์ดไดรฟ์ของคุณจะมีข้อมูลเพื่อเข้าสู่ธนาคารออนไลน์หรือกระเป๋าเงินออนไลน์ของคุณ

เริ่มต้นใช้งานพื้นฐานด้านความปลอดภัยของ Linux

เรามาก้าวไปสู่พื้นฐาน () ซึ่งจะเหมาะกับเกือบทุกอย่าง
การแจกแจงลินุกซ์

มาเข้ารหัสระบบไฟล์ใน Linux เพื่อความปลอดภัยของ Linux ที่สมบูรณ์ยิ่งขึ้น

รหัสผ่านที่กำหนดเองไม่สามารถแก้ปัญหาได้ เว้นแต่ว่าคุณต้องการให้ไม่มีใครสามารถอ่านโฮมไดเร็กทอรีของคุณ (/home) หรือขนาดไบต์ที่แน่นอนได้ คุณสามารถทำได้ในลักษณะที่แม้แต่ผู้ใช้ที่มีสิทธิ์รูทสูงสุดก็ไม่สามารถแหย่จมูกเข้าไปได้

ลบไฟล์สำคัญเพื่อไม่ให้ใครสามารถกู้คืนได้

หากคุณตัดสินใจที่จะขายหรือแจกคอมพิวเตอร์หรือสื่อบันทึกข้อมูลของคุณ อย่าคิดว่าการฟอร์แมตจะเป็นการลบไฟล์ของคุณอย่างถาวร คุณสามารถติดตั้งเครื่องมือลบอย่างปลอดภัยบน Linux ของคุณได้ ซึ่งรวมถึงยูทิลิตี้ srm สำหรับการลบไฟล์อย่างปลอดภัย

นอกจากนี้อย่าลืมเกี่ยวกับไฟร์วอลล์ในเคอร์เนล Linux รวมไว้ในทั้งหมด การแจกแจงลินุกซ์รวมถึง lptables ซึ่งเป็นส่วนหนึ่งของแกนกลาง Lptables ช่วยให้คุณสามารถกรองแพ็กเก็ตเครือข่ายได้ แน่นอน คุณสามารถกำหนดค่ายูทิลิตี้นี้ได้ในเทอร์มินัล แต่วิธีนี้อยู่นอกเหนือความสามารถของหลายๆ คน รวมทั้งฉันด้วย ดังนั้นฉันจึงติดตั้งและกำหนดค่าได้อย่างง่ายดายเหมือนกับฉันกำลังเล่นเกม

เช่นเดียวกับระบบปฏิบัติการอื่นๆ Linux มีแนวโน้มที่จะสะสมขยะทุกประเภทเมื่อใช้งานแอพพลิเคชั่นต่างๆ และไม่ใช่ความผิดของ Linux เนื่องจากแอปพลิเคชันต่างๆ เช่น เบราว์เซอร์ โปรแกรมแก้ไขข้อความ และแม้แต่เครื่องเล่นวิดีโอ จะไม่ทำงานในระดับเคอร์เนลและสะสมไฟล์ชั่วคราว คุณสามารถติดตั้งยูทิลิตี้ BleachBit เพื่อการกำจัดขยะแบบสากล

การท่องเว็บโดยไม่เปิดเผยตัวตน ซ่อน IP ของคุณ - สำคัญมากสำหรับการรักษาความปลอดภัยตัวตนของคุณภายใต้ Linux

โดยสรุปฉันต้องการบอกคุณเกี่ยวกับการท่องเว็บโดยไม่ระบุชื่อ บางครั้งมันเกิดขึ้นว่ามันจำเป็น เช่นเดียวกับฉันเมื่อฉันเยี่ยมชมเว็บไซต์ที่มีเนื้อหาเกี่ยวกับกามโดยแอบจากภรรยาของฉัน แน่นอนฉันล้อเล่น

ผู้โจมตีจะเข้าถึงคุณได้ยากหากพวกเขาไม่สามารถระบุตำแหน่งของคุณได้ เราครอบคลุมเส้นทางของเราด้วยการตั้งค่าง่ายๆ ของยูทิลิตี้สองตัวที่ทำงานร่วมกันที่เรียกว่า privoxy และ tor

ในความคิดของฉัน การปฏิบัติตามและกำหนดค่ากฎเหล่านี้ทั้งหมดจะทำให้คุณและคอมพิวเตอร์ของคุณปลอดภัย 90%

ป.ล. ฉันใช้คลาวด์ที่เรียกว่าดรอปบ็อกซ์ ฉันเก็บบทความเก่าและใหม่ที่ยังไม่ได้ตีพิมพ์ไว้ในนั้น สะดวกในการเข้าถึงไฟล์ของคุณจากทุกที่ในโลกและบนคอมพิวเตอร์ทุกเครื่อง เมื่อเขียนบทความสำหรับเว็บไซต์ใน โปรแกรมแก้ไขข้อความฉันช่วยของฉัน เอกสารข้อความด้วยรหัสผ่านและหลังจากนั้นฉันก็อัปโหลดไปยังเซิร์ฟเวอร์ดรอปบ็อกซ์เท่านั้น คุณไม่ควรละเลยการรักษาความปลอดภัยเพิ่มเติมซึ่งจะส่งผลต่อมือของคุณเท่านั้น

สวัสดีทุกคน... ผู้ดูแลระบบมือใหม่ทุกคนภายใต้ Ubuntu มีหน้าที่ตั้งค่าอินเทอร์เฟซเครือข่าย (เครือข่าย การ์ดเครือข่าย) ในบทความนี้ ฉันจะแสดงวิธีทำ... มันง่ายมาก...

หากคุณพลาดการตั้งค่าเครือข่ายหรือพบปัญหาในการติดตั้งการแจกจ่าย ตอนนี้เราจะดำเนินการด้วยตนเอง ดังนั้นเราจึงติดตั้งการกระจายและกำลังรอเราอยู่ในการโจมตี... เราต้องกำหนดค่าการ์ดเครือข่าย 2 ใบ..... พวกเราคนหนึ่งเผชิญหน้ากับผู้ให้บริการและอีกคนหนึ่งเผชิญหน้า เครือข่ายท้องถิ่น. เรามาตกลงกันทันทีและกำหนดอินเทอร์เฟซและที่อยู่ของเรา

eth0— 192.168.0.1 (สมมติว่านี่คือที่อยู่ที่ออกโดยผู้ให้บริการ) อินเทอร์เฟซที่ดูอินเทอร์เน็ต (ผู้ให้บริการ)
eth1— 10.0.0.1 (ที่อยู่ที่เราต้องการมอบให้กับอินเทอร์เฟซนี้) อินเทอร์เฟซที่หันหน้าไปทางเครือข่ายท้องถิ่น

ก่อนอื่น เรามาตรวจสอบว่าอินเทอร์เฟซใดที่เราเปิดใช้งานด้วยคำสั่งแล้ว ถ้ากำหนดค่าคุณจะเห็นสิ่งนี้ (เฉพาะกับข้อมูลของคุณแทนที่จะเป็น xxxxx)

Eth0 ลิงก์ encap:Ethernet HWaddr хх:хх:хх:хх:хх:хх inet addr:xxx.xxx.xxx.xxx Bcast:xxx.xxx.xxxx.xxx Mask:255.255.255.252 inet6 addr: xxx::xxx:xxx :xxx:xxxx/64 ขอบเขต:เชื่อมโยงการออกอากาศแบบมัลติคาสท์ MTU:1500 เมตริก:1 แพ็กเก็ต RX:31694097 ข้อผิดพลาด:0 ลดลง:0 โอเวอร์รัน:0 เฟรม:0 แพ็กเก็ต TX:15166512 ข้อผิดพลาด:0 ลดลง:0 โอเวอร์รัน:0 ผู้ให้บริการ: 0 การชน: 0 txqueuelen:100 ไบต์ RX:2215593127 (2.2 GB) ไบต์ TX:1577680249 (1.5 GB) หน่วยความจำ:b8820000-b8840000 eth1 encap ลิงก์:Ethernet HWaddr xx:xx:xx:xx:xx:xx inet addr:10.0. 0.1 Bcast:10.0.0.255 Mask:255.255.255.0 inet6 xxxx: xxxx::xxxx:xxxf:xxx:xxx/64 ขอบเขต: ลิงก์ UP BROADCAST RUNNING MULTICAST MTU:1500 เมตริก: 1 แพ็กเก็ต RX: 11352041 ข้อผิดพลาด: 0 ลดลง: 0 โอเวอร์รัน :0 เฟรม:0 แพ็กเก็ต TX:21539638 ข้อผิดพลาด:0 ลดลง:0 โอเวอร์รัน:0 ผู้ให้บริการ:0 การชนกัน:0 txqueuelen:100 ไบต์ RX:1262641422 (1.2 GB) ไบต์ TX:1922838889 (1.9 GB) หน่วยความจำ:b8800000-b8820000 lo ลิงก์ encap: Local loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 ขอบเขต:โฮสต์ UP LOOPBACK RUNNING MTU:16436 Metric:1 แพ็กเก็ต RX:3823 ข้อผิดพลาด: 0 ลดลง: 0 โอเวอร์รัน: 0 เฟรม: 0 แพ็กเก็ต TX: ข้อผิดพลาด 3823: 0 ลดลง: 0 โอเวอร์รัน: 0 ผู้ให้บริการ: 0 การชน: 0 txqueuelen: 0 ไบต์ RX: 717663 (717.6 KB) ไบต์ TX: 717663 (717.6 KB)

หากอินเทอร์เฟซใดอินเทอร์เฟซหนึ่งไม่แสดงก็ไม่เป็นไร เพิ่งปิดการใช้งาน มาเปิดใช้งานด้วยคำสั่งกันดีกว่า sudo ifconfig eth1 ขึ้นไป(แทนที่จะพิมพ์ eth1 ให้พิมพ์อินเทอร์เฟซของคุณ หากคุณมีการ์ดเครือข่าย 2 การ์ด แสดงว่ามีเพียง 2 อินเทอร์เฟซ: eth0 และ eth1) ดังนั้นเราจึงเปิดใช้งานอินเทอร์เฟซของเรา:

sudo ifconfig eth1 ขึ้นไป

เรามาเริ่มตั้งค่ากันดีกว่า

มากำหนดอินเทอร์เฟซ eth0 ให้กับที่อยู่ IP ที่ออกโดยผู้ให้บริการด้วยคำสั่งต่อไปนี้:

sudo ifconfig eth1 inet 192.168.0.2

และระบุเน็ตเวิร์กมาสก์:

sudo ifconfig eth0 เน็ตมาสก์ 255.255.255.0

การตั้งค่าที่ทำในลักษณะนี้จะถูกรีเซ็ตหลังจากรีบูตเซิร์ฟเวอร์
เพื่อป้องกันไม่ให้สิ่งนี้เกิดขึ้น คุณจะต้องเปลี่ยนการตั้งค่าใน ไฟล์การกำหนดค่าอินเทอร์เฟซเครือข่าย ในการทำเช่นนี้คุณต้องมีสิทธิ์ในการรูท มารับสิทธิ์กันได้เลย รากด้วยคำสั่งต่อไปนี้:

ซูโดะ ซู

ไฟล์การกำหนดค่าอินเทอร์เฟซเครือข่ายอยู่ที่ /etc/เครือข่าย/อินเทอร์เฟซหากต้องการแก้ไข เราใช้โปรแกรมแก้ไขนาโน (คุณสามารถใช้โปรแกรมแก้ไขของคุณเองได้) ฉันชอบมัน นาโน

นาโน /etc/เครือข่าย/อินเทอร์เฟซ

เราเห็นสิ่งต่อไปนี้:

# ไฟล์นี้อธิบายอินเทอร์เฟซเครือข่ายที่มีอยู่ในระบบของคุณ #และวิธีการเปิดใช้งาน สำหรับข้อมูลเพิ่มเติม โปรดดูอินเทอร์เฟซ (5) # อินเทอร์เฟซเครือข่ายแบบย้อนกลับ อัตโนมัติแท้จริง iface หรือ inet loopback # อินเทอร์เฟซเครือข่ายหลัก// อินเทอร์เฟซเครือข่ายหลัก อัตโนมัติ eth0//การกำหนดคุณลักษณะต่อไปนี้ให้กับอินเทอร์เฟซเครือข่าย iface eth0 inet คงที่// เปิดใช้งานอินเทอร์เฟซเครือข่ายโดยอัตโนมัติ ที่อยู่ 192.168.0.2//ที่อยู่ IP ของการ์ดเครือข่ายของเรา (ออกโดยผู้ให้บริการ) เน็ตมาสก์ 255.255.255.0//เน็ตเวิร์กมาสก์ซึ่งมี IP ของเราอยู่ เครือข่าย 192.168.0.0//เครือข่ายของทั้งช่วง ออกอากาศ 192.168.0.255//สูงสุด. จำนวนที่อยู่ เกตเวย์ 192.168.0.1//ประตู # dns-* ตัวเลือกถูกนำมาใช้โดยแพ็คเกจ resolvconf หากติดตั้งไว้

จำเป็นต้องลดให้เหลือรูปแบบดังต่อไปนี้

# ไฟล์นี้อธิบายอินเทอร์เฟซเครือข่ายที่มีอยู่ในระบบของคุณ # และวิธีการเปิดใช้งาน สำหรับข้อมูลเพิ่มเติม โปรดดูอินเทอร์เฟซ (5) # อินเทอร์เฟซเครือข่ายแบบย้อนกลับอัตโนมัติ lo iface lo inet loopback # อินเทอร์เฟซเครือข่ายหลักอัตโนมัติ eth0 iface eth0 ที่อยู่คงที่ inet 192.168.0.2 netmask 255.255.255.0 เครือข่าย 192.168.0.0 เกตเวย์ 192.168.0.1 # ตัวเลือก dns-* ถูกนำมาใช้โดยแพ็คเกจ resolvconf หากติดตั้ง DNS-nameservers 192.168.22.22 192.168.33.33 #อินเทอร์เฟซที่มองเข้าไปในเครือข่ายท้องถิ่น อัตโนมัติ eth1 iface eth1 inet แบบคงที่ ที่อยู่ 10.0.0.1 เน็ตมาสก์ 255.255.255.0

บันทึกการเปลี่ยนแปลงโดยคลิก ปุ่ม Ctrl+ O และออกโดยกด Ctrl + X

ที่อยู่เซิร์ฟเวอร์ DNS สามารถตั้งค่าได้ในไฟล์ /etc/network/interfaces แต่ที่อยู่เซิร์ฟเวอร์ DNS ใน Ubuntu ได้รับการจัดการผ่านไฟล์ /etc/resolv.conf สำหรับฉันดูเหมือนว่านี้:

เนมเซิร์ฟเวอร์ xx.xx.xx.xx เนมเซิร์ฟเวอร์ xx.xx.xx.xx

มากำหนดค่า DNS กัน โดยป้อนคำสั่งต่อไปนี้ในบรรทัด:

Sudo nano /etc/resolv.conf # ที่อยู่ IP ของเซิร์ฟเวอร์ DNS เนมเซิร์ฟเวอร์ของผู้ให้บริการของคุณ хх.ххх.ххх.ххх เนมเซิร์ฟเวอร์ ххх.ххх.хх.ххх

มาบันทึกกันเถอะ Ctrl+Oและเราก็ออกไป Ctrl +xคุณต้องรีบูทเครือข่ายด้วยคำสั่งต่อไปนี้

เราทุกคนรู้ดีว่าห้องผ่าตัด ระบบลินุกซ์มาก ปลอดภัยกว่าวินโดวส์ด้วยสถาปัตยกรรมและระบบพิเศษสำหรับการกระจายการเข้าถึงระหว่างผู้ใช้ แต่โปรแกรมเมอร์ก็เป็นคนเหมือนกัน ไม่ว่าเราจะชอบมันแค่ไหน พวกเขาก็ทำผิดพลาดได้เช่นกัน และเนื่องจากข้อผิดพลาดเหล่านี้ จึงมีช่องโหว่ปรากฏขึ้นในระบบซึ่งผู้โจมตีสามารถข้ามระบบรักษาความปลอดภัยได้

ข้อผิดพลาดเหล่านี้เรียกว่าช่องโหว่และอาจเกิดขึ้นได้ โปรแกรมต่างๆและแม้แต่ที่แกนกลางของระบบซึ่งบ่อนทำลายความปลอดภัย ด้านหลัง ปีที่ผ่านมาความนิยมของ Linux เริ่มเพิ่มมากขึ้น และนักวิจัยด้านความปลอดภัยก็ให้ความสนใจกับระบบนี้มากขึ้น มีการค้นพบช่องโหว่เพิ่มมากขึ้นเรื่อยๆ และด้วยโค้ดโอเพ่นซอร์ส จึงสามารถกำจัดช่องโหว่เหล่านี้ได้อย่างรวดเร็ว ในบทความนี้ เราจะมาดูช่องโหว่ของ Linux ที่อันตรายที่สุดที่ถูกค้นพบในช่วงไม่กี่ปีที่ผ่านมา

ก่อนที่จะไปยังรายการช่องโหว่ สิ่งสำคัญคือต้องเข้าใจว่าช่องโหว่เหล่านี้คืออะไรและคืออะไร อย่างที่ฉันบอกไปแล้ว ช่องโหว่คือจุดบกพร่องในโปรแกรมที่อนุญาตให้ผู้ใช้ใช้โปรแกรมในลักษณะที่นักพัฒนาไม่ได้ตั้งใจไว้

นี่อาจเป็นการขาดการตรวจสอบความถูกต้องของข้อมูลที่ได้รับ การตรวจสอบแหล่งข้อมูล และที่น่าสนใจที่สุดคือขนาดของข้อมูล ช่องโหว่ที่อันตรายที่สุดคือช่องโหว่ที่อนุญาตให้เรียกใช้โค้ดโดยอำเภอใจ ใน หน่วยความจำเข้าถึงโดยสุ่มข้อมูลทั้งหมดมีขนาดที่แน่นอนและโปรแกรมได้รับการออกแบบมาเพื่อเขียนข้อมูลจากผู้ใช้ขนาดที่กำหนดลงในหน่วยความจำ หากผู้ใช้ส่งผ่านข้อมูลมากขึ้น ก็ควรจะเกิดข้อผิดพลาด

แต่หากโปรแกรมเมอร์ทำผิดพลาด ข้อมูลจะเขียนทับโค้ดโปรแกรมและโปรเซสเซอร์จะพยายามดำเนินการ ซึ่งทำให้เกิดช่องโหว่บัฟเฟอร์ล้น

นอกจากนี้ ช่องโหว่ทั้งหมดสามารถแบ่งออกเป็นช่องโหว่ภายในเครื่องได้ ซึ่งจะใช้งานได้ก็ต่อเมื่อแฮ็กเกอร์สามารถเข้าถึงได้เท่านั้น คอมพิวเตอร์ท้องถิ่นและระยะไกลเมื่อเข้าถึงผ่านอินเทอร์เน็ตเพียงพอ ตอนนี้เรามาดูรายการช่องโหว่กันดีกว่า

1.วัวสกปรก

รายการแรกในรายการของเราคือช่องโหว่ใหม่ที่ถูกค้นพบในฤดูใบไม้ร่วงนี้ ชื่อ Dirty COW ย่อมาจาก Copy on Write เกิดข้อผิดพลาดกับระบบไฟล์ระหว่างการคัดลอกเมื่อเขียน นี่เป็นช่องโหว่เฉพาะที่ช่วยให้ผู้ใช้ที่ไม่มีสิทธิพิเศษสามารถเข้าถึงระบบได้เต็มรูปแบบ

กล่าวโดยย่อ เพื่อใช้ประโยชน์จากช่องโหว่ที่คุณต้องการสองไฟล์ ไฟล์หนึ่งสามารถเขียนได้ในนามของ superuser เท่านั้น ไฟล์ที่สองสำหรับเรา เราเริ่มเขียนข้อมูลลงในไฟล์ของเราหลายครั้งและอ่านจากไฟล์ superuser ผ่าน เวลาที่แน่นอนจะมีเวลาที่บัฟเฟอร์ของทั้งสองไฟล์ผสมกัน และผู้ใช้จะสามารถเขียนข้อมูลไปยังไฟล์ที่เขาไม่สามารถเขียนได้ จึงทำให้ตัวเองมีสิทธิ์รูทในระบบ

ช่องโหว่นี้อยู่ในเคอร์เนลมาประมาณ 10 ปี แต่หลังจากค้นพบก็ได้รับการแก้ไขอย่างรวดเร็ว แม้ว่าจะมีอุปกรณ์ Andoid หลายล้านเครื่องที่เคอร์เนลไม่ได้รับการอัปเดตและไม่คิด และจุดที่ช่องโหว่นี้สามารถนำมาใช้ประโยชน์ได้ รหัสช่องโหว่คือ CVE-2016-5195

2. ช่องโหว่ของ Glibc

รหัสช่องโหว่คือ CVE-2015-7547 นี่เป็นหนึ่งในช่องโหว่ที่ถูกพูดถึงมากที่สุดในบรรดาโครงการโอเพ่นซอร์ส ในเดือนกุมภาพันธ์ 2559 พบว่าไลบรารี Glibc มีช่องโหว่ที่ร้ายแรงมากซึ่งทำให้ผู้โจมตีสามารถรันโค้ดของเขาบนระบบระยะไกล

สิ่งสำคัญคือต้องทราบว่า Glibc เป็นการนำไลบรารี C และ C++ มาตรฐานมาใช้ซึ่งใช้มากที่สุด โปรแกรมลินุกซ์รวมถึงบริการและภาษาโปรแกรมเช่น PHP, Python, Perl

เกิดข้อผิดพลาดในโค้ดสำหรับแยกวิเคราะห์การตอบสนองของเซิร์ฟเวอร์ DNS ดังนั้นช่องโหว่นี้สามารถถูกโจมตีโดยแฮกเกอร์ที่เข้าถึง DNS โดยเครื่องที่มีช่องโหว่ เช่นเดียวกับผู้ที่ทำการโจมตี MITM แต่ช่องโหว่ดังกล่าวทำให้สามารถควบคุมระบบได้อย่างสมบูรณ์

ช่องโหว่นี้อยู่ในไลบรารีมาตั้งแต่ปี 2551 แต่หลังจากการค้นพบ แพตช์ก็ถูกปล่อยออกมาอย่างรวดเร็ว

3.เลือดหัวใจ

ในปี 2014 มีการค้นพบช่องโหว่ที่ร้ายแรงที่สุดประการหนึ่งในแง่ของขนาดและผลที่ตามมา มีสาเหตุมาจากจุดบกพร่องในโมดูล Heartdead ของโปรแกรม OpenSSL จึงเป็นที่มาของชื่อ Heartbleed ช่องโหว่ดังกล่าวทำให้ผู้โจมตีสามารถเข้าถึง RAM เซิร์ฟเวอร์ขนาด 64 กิโลไบต์ได้โดยตรง การโจมตีสามารถเกิดขึ้นซ้ำได้จนกว่าหน่วยความจำทั้งหมดจะถูกอ่าน

แม้ว่าการแก้ไขจะเผยแพร่อย่างรวดเร็ว แต่ไซต์และแอปพลิเคชันจำนวนมากได้รับผลกระทบ ในความเป็นจริง เว็บไซต์ทั้งหมดที่ใช้ HTTPS เพื่อรักษาความปลอดภัยการรับส่งข้อมูลมีความเสี่ยง ผู้โจมตีสามารถรับรหัสผ่านผู้ใช้ ข้อมูลส่วนบุคคล และทุกสิ่งที่อยู่ในหน่วยความจำ ณ เวลาที่โจมตี รหัสช่องโหว่คือ CVE-2014-0160

4.ฉากต่อสู้

หากช่องโหว่ได้รับชื่อรหัส แสดงว่าสมควรได้รับความสนใจอย่างชัดเจน ช่องโหว่ของ Stagerfight ก็ไม่มีข้อยกเว้น จริงอยู่ที่นี่ไม่ใช่ปัญหาของ Linux จริงๆ Stagefright เป็นไลบรารีสำหรับประมวลผลรูปแบบมัลติมีเดียใน Android

มันถูกนำไปใช้ใน C ++ ซึ่งหมายความว่าข้ามกลไกความปลอดภัยของ Java ทั้งหมด ในปี 2558 มีการค้นพบช่องโหว่ทั้งกลุ่มซึ่งทำให้สามารถรันโค้ดบนระบบจากระยะไกลได้โดยอำเภอใจ ได้แก่: CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828 และ CVE-2015-3829

ผู้โจมตีต้องทำเพียงส่ง MMS ไปยังสมาร์ทโฟนที่มีช่องโหว่ซึ่งมีไฟล์มีเดียที่ได้รับการปรับแต่งเป็นพิเศษ และเขาจะสามารถควบคุมอุปกรณ์ได้เต็มรูปแบบด้วยความสามารถในการเขียนและอ่านข้อมูลจากการ์ดหน่วยความจำ ช่องโหว่นี้ได้รับการแก้ไขโดยนักพัฒนา Android แต่อุปกรณ์หลายล้านเครื่องยังคงมีความเสี่ยงอยู่

5. ช่องโหว่แบบ Zero-day ของเคอร์เนล

นี่คือช่องโหว่ในท้องถิ่นที่ช่วยให้สามารถยกระดับสิทธิ์ได้ ผู้ใช้ปัจจุบันการรูทเนื่องจากข้อผิดพลาดในระบบในการทำงานกับข้อมูลการเข้ารหัสเคอร์เนลที่เก็บไว้ในหน่วยความจำ มันถูกค้นพบในเดือนกุมภาพันธ์ 2559 และครอบคลุมเคอร์เนลทั้งหมดตั้งแต่ 3.8 ซึ่งหมายความว่าช่องโหว่นั้นมีอยู่เป็นเวลา 4 ปี

แฮกเกอร์หรือผู้ประสงค์ร้ายอาจใช้ข้อผิดพลาดได้ ซอฟต์แวร์เพื่อเพิ่มอำนาจในระบบแต่ได้รับการแก้ไขอย่างรวดเร็วมาก

6. ช่องโหว่ใน MySQL

ช่องโหว่นี้ได้รับรหัส CVE-2016-6662 และได้รับผลกระทบทั้งหมด รุ่นที่มีจำหน่ายเซิร์ฟเวอร์ฐานข้อมูล ข้อมูลมายเอสคิวแอล(5.7.15, 5.6.33 และ 5.5.52) ฐานข้อมูล Oracle และโคลน MariaDB และ PerconaDB

ผู้โจมตีสามารถเข้าถึงระบบได้อย่างเต็มที่ผ่านทาง แบบสอบถาม SQLมีการส่งรหัสที่อนุญาตให้คุณแทนที่ my.conf ด้วยเวอร์ชันของคุณและรีบูตเซิร์ฟเวอร์ นอกจากนี้ยังสามารถรันโค้ดที่เป็นอันตรายด้วยสิทธิ์ของ superuser ได้

โซลูชัน MariaDB และ PerconaDB เปิดตัวแพตช์ค่อนข้างเร็ว Oracle ตอบกลับ แต่หลังจากนั้นมาก

7. เชลล์ช็อค

ช่องโหว่นี้ถูกค้นพบในปี 2014 ก่อนที่จะคงอยู่นานถึง 22 ปี ได้รับมอบหมายให้เป็น CVE-2014-6271 และมีชื่อรหัสว่า Shellshock ช่องโหว่นี้เทียบได้กับอันตรายของ Heartbleed ซึ่งเราทราบอยู่แล้ว มีสาเหตุมาจากจุดบกพร่องในตัวแปลคำสั่ง Bash ซึ่งเป็นตัวแปลคำสั่งเริ่มต้นบนลีนุกซ์ส่วนใหญ่

Bash ช่วยให้คุณสามารถประกาศได้ ตัวแปรสภาพแวดล้อมโดยไม่ต้องมีการตรวจสอบสิทธิ์ผู้ใช้ แต่คุณสามารถดำเนินการคำสั่งใด ๆ ในนั้นร่วมกันได้ สิ่งนี้เป็นอันตรายอย่างยิ่งในสคริปต์ CGI ซึ่งได้รับการสนับสนุนโดยไซต์ส่วนใหญ่ ไม่เพียงแต่เซิร์ฟเวอร์เท่านั้นที่มีช่องโหว่ แต่ยังรวมถึง คอมพิวเตอร์ส่วนบุคคลผู้ใช้ เราเตอร์ และอุปกรณ์อื่นๆ ผู้โจมตีสามารถรันคำสั่งใด ๆ จากระยะไกลได้ นี่คือการควบคุมระยะไกลเต็มรูปแบบโดยไม่มีการตรวจสอบสิทธิ์

Bash ทุกเวอร์ชันได้รับผลกระทบ รวมถึง 4.3 แม้ว่าหลังจากพบปัญหาแล้ว นักพัฒนาก็ออกการแก้ไขอย่างรวดเร็ว

8. ควอดรูตเตอร์

นี่คือชุดช่องโหว่ทั้งหมดใน Android ซึ่งค้นพบในเดือนสิงหาคม 2559 พวกเขาได้รับรหัส CVE-2016-5340, CVE-2016-2059, CVE-2016-2504, CVE-2016-2503 มากกว่า 900 ล้านคนได้รับผลกระทบจากข้อผิดพลาด อุปกรณ์แอนดรอยด์. พบช่องโหว่ทั้งหมดอยู่ในไดรเวอร์โปรเซสเซอร์ Qualcomm ARM และช่องโหว่ทั้งหมดสามารถใช้ได้ รับรูทเข้าถึงอุปกรณ์

เช่นเดียวกับ DirtyCOW คุณไม่จำเป็นต้องมีการอนุญาตใด ๆ ที่นี่ เพียงแค่ติดตั้งแอปพลิเคชั่นที่เป็นอันตราย และมันจะสามารถรับข้อมูลทั้งหมดของคุณและถ่ายโอนไปยังผู้โจมตีได้

9. ช่องโหว่ใน OpenJDK

นี่เป็นช่องโหว่ที่ร้ายแรงมากของ Linux 2016 ในเครื่อง OpenJDK Java ที่มีรหัส CVE-2016-0636 โดยส่งผลกระทบต่อผู้ใช้ทั้งหมดที่ใช้ Oracle Java SE 7 Update 97 และ 8 Update 73 และ 74 สำหรับ Windows, Solaris, Linux และ Mac OS X สิ่งนี้ ช่องโหว่ทำให้ผู้โจมตีสามารถรันโค้ดนอกเครื่อง Java ได้โดยอำเภอใจ หากคุณเปิดหน้าพิเศษในเบราว์เซอร์ที่มี Java เวอร์ชันที่มีช่องโหว่

สิ่งนี้ทำให้ผู้โจมตีสามารถเข้าถึงรหัสผ่าน ข้อมูลส่วนบุคคลของคุณ และยังเรียกใช้โปรแกรมบนคอมพิวเตอร์ของคุณได้อีกด้วย ทั้งหมด เวอร์ชันจาวาข้อผิดพลาดได้รับการแก้ไขอย่างรวดเร็ว มีมาตั้งแต่ปี 2013

10. ช่องโหว่โปรโตคอล HTTP/2

นี่เป็นชุดช่องโหว่ทั้งหมดที่ถูกค้นพบในปี 2559 ในโปรโตคอล HTTP/2 พวกเขาได้รับรหัส CVE-2015-8659, CVE-2016-0150, CVE-2016-1546, CVE-2016-2525, CVE-2016-1544 การใช้งานโปรโตคอลนี้ทั้งหมดใน Apache, Nginx Microsoft, Jetty และ nghttp2 มีช่องโหว่

ทั้งหมดนี้อนุญาตให้ผู้โจมตีทำให้เว็บเซิร์ฟเวอร์ช้าลงอย่างมากและทำการโจมตีแบบปฏิเสธการให้บริการ ตัวอย่างเช่น ข้อผิดพลาดประการหนึ่งนำไปสู่ความเป็นไปได้ในการส่งข้อความขนาดเล็กซึ่งบนเซิร์ฟเวอร์ถูกแตกไฟล์เป็นกิกะไบต์ ข้อผิดพลาดได้รับการแก้ไขอย่างรวดเร็วและไม่ก่อให้เกิดเสียงรบกวนในชุมชนมากนัก

คุณปลอดภัยไหม?

ในบทความนี้ เราได้พิจารณาช่องโหว่ของ Linux ที่อันตรายที่สุดในปี 2016, 2015 และ 2014 ส่วนใหญ่อาจก่อให้เกิดอันตรายร้ายแรงต่อระบบหากไม่ได้รับการแก้ไขทันเวลา ต้องขอบคุณโค้ดโอเพ่นซอร์สที่ทำให้สามารถตรวจพบและแก้ไขช่องโหว่ของ Linux ได้อย่างรวดเร็วและมีประสิทธิภาพ เพียงอย่าลืมอัปเดตระบบของคุณ ปัญหายังคงอยู่กับ Android เท่านั้น อุปกรณ์บางตัวไม่ได้รับการอัพเดตอีกต่อไปและยังไม่มีวิธีแก้ไขปัญหานี้

มีความเข้าใจผิดที่พบบ่อยว่าเซิร์ฟเวอร์ที่ใช้ระบบปฏิบัติการ Linux นั้นปลอดภัยที่สุดและได้รับการปกป้องจากการบุกรุกจากภายนอก น่าเสียดายที่ไม่เป็นเช่นนั้น ความปลอดภัยของเซิร์ฟเวอร์ใด ๆ ขึ้นอยู่กับปัจจัยและมาตรการหลายประการเพื่อให้มั่นใจและไม่ขึ้นอยู่กับระบบปฏิบัติการที่ใช้

เราตัดสินใจเริ่มบทความชุดหนึ่งเกี่ยวกับความปลอดภัยของเครือข่ายด้วยเซิร์ฟเวอร์ Ubuntu เนื่องจากโซลูชันบนแพลตฟอร์มนี้เป็นที่สนใจอย่างมากสำหรับผู้อ่านของเรา และเนื่องจากหลายคนเชื่อว่าโซลูชัน Linux มีความปลอดภัยในตัวเอง

ในเวลาเดียวกันเราเตอร์ที่มีที่อยู่ IP เฉพาะจะเป็น "ประตู" ไปยังเครือข่ายท้องถิ่นและจะขึ้นอยู่กับผู้ดูแลระบบเท่านั้นว่าประตูนี้จะเป็นอุปสรรคที่เชื่อถือได้หรือจะกลายเป็นประตูประเทศที่ปิดด้วย เล็บ.

ความเข้าใจผิดทั่วไปอีกประการหนึ่งคือการให้เหตุผลในรูปแบบของ: “ใครต้องการมัน เซิร์ฟเวอร์ของเรา เราไม่มีอะไรน่าสนใจ” แท้จริงแล้ว เครือข่ายท้องถิ่นของคุณอาจไม่เป็นที่สนใจของผู้โจมตี แต่พวกเขาสามารถใช้เซิร์ฟเวอร์ที่ถูกแฮ็กเพื่อส่งสแปม การโจมตีบนเซิร์ฟเวอร์อื่น พูดง่ายๆ ก็คือพร็อกซีที่ไม่เปิดเผยตัวตน เป็นจุดเริ่มต้นสำหรับการติดต่อที่เป็นความลับ

และสิ่งนี้ไม่เป็นที่พอใจอยู่แล้วและอาจทำให้เกิดปัญหาต่าง ๆ ได้ตั้งแต่ผู้ให้บริการไปจนถึงหน่วยงานบังคับใช้กฎหมาย และเกี่ยวกับการแพร่กระจายของไวรัส การโจรกรรม และการทำลายล้าง ข้อมูลสำคัญคุณไม่ควรลืมรวมถึงความจริงที่ว่าการหยุดทำงานขององค์กรทำให้เกิดการสูญเสียที่จับต้องได้

แม้ว่าบทความนี้จะเน้นไปที่เซิร์ฟเวอร์ Ubuntu โดยเฉพาะ แต่ก่อนอื่นเราจะดูปัญหาด้านความปลอดภัยทั่วไปที่ใช้กับแพลตฟอร์มใดก็ได้และเป็นพื้นฐานอย่างเท่าเทียมกัน โดยที่ไม่มีประโยชน์ในการหารือเกี่ยวกับปัญหานี้โดยละเอียด

ความปลอดภัยเริ่มต้นที่ไหน?

ไม่ การรักษาความปลอดภัยไม่ได้เริ่มต้นด้วยไฟร์วอลล์ และไม่ได้เริ่มต้นด้วยไฟร์วอลล์เลย วิธีการทางเทคนิคความปลอดภัยเริ่มต้นที่ผู้ใช้ ท้ายที่สุดแล้ว ประตูโลหะที่เจ๋งที่สุดที่ติดตั้งโดยผู้เชี่ยวชาญที่ดีที่สุดจะมีประโยชน์อะไรหากเจ้าของทิ้งกุญแจไว้ใต้พรม?

ดังนั้นสิ่งแรกที่คุณควรทำคือดำเนินการตรวจสอบความปลอดภัย อย่ากลัวคำนี้ ทุกอย่างไม่ซับซ้อน: วาดแผนเครือข่ายที่คุณทำเครื่องหมายโซนปลอดภัย โซนอันตรายที่อาจเกิดขึ้น และโซนอันตรายสูง และจัดทำรายชื่อผู้ใช้ที่มี (ควรมี การเข้าถึง) ไปยังโซนเหล่านี้

โซนปลอดภัยควรประกอบด้วย ทรัพยากรภายในเครือข่ายที่ไม่สามารถเข้าถึงได้จากภายนอกและเป็นที่ยอมรับของการรักษาความปลอดภัยระดับต่ำ สิ่งเหล่านี้อาจเป็นเวิร์กสเตชัน เซิร์ฟเวอร์ไฟล์ ฯลฯ อุปกรณ์ที่จำกัดการเข้าถึงเฉพาะเครือข่ายท้องถิ่นขององค์กร

โซนอันตรายที่อาจเกิดขึ้น ได้แก่ เซิร์ฟเวอร์และอุปกรณ์ที่ไม่สามารถเข้าถึงเครือข่ายภายนอกได้โดยตรง แต่บริการส่วนบุคคลสามารถเข้าถึงได้จากภายนอก เช่น เว็บและเมลเซิร์ฟเวอร์ที่อยู่ด้านหลังไฟร์วอลล์ แต่ยังคงให้บริการตามคำขอจากเครือข่ายภายนอก

โซนอันตรายควรรวมอุปกรณ์ที่สามารถเข้าถึงได้โดยตรงจากภายนอก โดยหลักการแล้ว ควรมีเราเตอร์ตัวเดียว

หากเป็นไปได้ ควรวางโซนที่อาจเป็นอันตรายบนซับเน็ตแยกต่างหาก - โซนปลอดทหาร (DMZ) ซึ่งแยกออกจากเครือข่ายหลักด้วยไฟร์วอลล์เพิ่มเติม

อุปกรณ์ LAN ควรมีสิทธิ์เข้าถึงบริการเหล่านั้นใน DMZ ที่ต้องการเท่านั้น เช่น SMTP, POP3, HTTP และการเชื่อมต่ออื่นๆ ที่ควรถูกบล็อก สิ่งนี้จะช่วยให้คุณสามารถแยกผู้โจมตีหรือมัลแวร์ที่ใช้ประโยชน์จากช่องโหว่ในบริการแยกต่างหากในเขตปลอดทหารได้อย่างน่าเชื่อถือ โดยปฏิเสธไม่ให้เข้าถึงเครือข่ายหลักได้

ในทางกายภาพ DMZ สามารถจัดระเบียบได้โดยการติดตั้งเซิร์ฟเวอร์ / ไฟร์วอลล์ฮาร์ดแวร์แยกต่างหากหรือเพิ่มเพิ่มเติม การ์ดเครือข่ายเข้าไปในเราเตอร์ แต่ในกรณีหลัง คุณจะต้องใส่ใจกับความปลอดภัยของเราเตอร์อย่างใกล้ชิด แต่ไม่ว่าในกรณีใด การรับรองความปลอดภัยของเซิร์ฟเวอร์เดียวจะง่ายกว่ามากในการดูแลเซิร์ฟเวอร์เป็นกลุ่ม

ขั้นตอนต่อไปคือการวิเคราะห์รายชื่อผู้ใช้ ไม่ว่าพวกเขาทั้งหมดจะต้องการเข้าถึง DMZ และเราเตอร์หรือไม่ (ยกเว้นบริการสาธารณะ) ควรให้ความสนใจเป็นพิเศษกับผู้ใช้ที่เชื่อมต่อจากภายนอก

โดยปกติแล้ว การดำเนินการนี้ต้องใช้ขั้นตอนที่ไม่เป็นที่นิยมอย่างมากในการบังคับใช้นโยบายรหัสผ่าน รหัสผ่านทั้งหมดสำหรับผู้ใช้ที่สามารถเข้าถึงบริการที่สำคัญและสามารถเชื่อมต่อจากภายนอกจะต้องมีอักขระอย่างน้อย 6 ตัวและมี ยกเว้น ตัวอักษรตัวพิมพ์เล็ก, อักขระจากสองหมวดหมู่จากสามประเภท: ตัวพิมพ์ใหญ่, ตัวเลข, อักขระที่ไม่ใช่ตัวอักษร

นอกจากนี้ รหัสผ่านไม่ควรรวมถึงการเข้าสู่ระบบของผู้ใช้หรือบางส่วน ไม่ควรมีวันที่หรือชื่อที่สามารถเชื่อมโยงกับผู้ใช้ และไม่ควรเป็นคำในพจนานุกรม

เป็นความคิดที่ดีที่จะฝึกฝนการเปลี่ยนรหัสผ่านทุกๆ 30-40 วัน เป็นที่ชัดเจนว่านโยบายดังกล่าวอาจทำให้ผู้ใช้ถูกปฏิเสธ แต่คุณควรจำไว้เสมอว่ารหัสผ่านเช่น 123 หรือ qwertyเทียบเท่ากับการทิ้งกุญแจไว้ใต้พรม

ความปลอดภัยของเซิร์ฟเวอร์ - ไม่มีอะไรพิเศษ

ตอนนี้เมื่อรู้แล้วว่าเราต้องการปกป้องอะไรและจากอะไร เรามาต่อกันที่เซิร์ฟเวอร์กันดีกว่า จัดทำรายการบริการและบริการทั้งหมด จากนั้นพิจารณาว่าจำเป็นทั้งหมดบนเซิร์ฟเวอร์นี้หรือไม่ หรือสามารถย้ายไปที่อื่นได้หรือไม่

ยิ่งบริการน้อยลง มั่นใจในความปลอดภัยได้ง่ายขึ้น และโอกาสที่เซิร์ฟเวอร์จะถูกบุกรุกผ่านช่องโหว่ที่สำคัญในหนึ่งในนั้นก็น้อยลง

กำหนดค่าบริการที่ให้บริการเครือข่ายท้องถิ่น (เช่น ปลาหมึก) เพื่อให้ยอมรับคำขอจากอินเทอร์เฟซภายในเครื่องโดยเฉพาะ บริการภายนอกที่มีน้อยลงก็ยิ่งดีเท่านั้น

เครื่องสแกนช่องโหว่จะเป็นผู้ช่วยที่ดีในการรับประกันความปลอดภัย ควรใช้สแกนอินเทอร์เฟซภายนอกของเซิร์ฟเวอร์ เราใช้เวอร์ชันสาธิตของผลิตภัณฑ์ที่มีชื่อเสียงที่สุดตัวหนึ่ง - XSpider 7.7

เครื่องสแกนแสดงให้เห็น เปิดพอร์ตพยายามระบุประเภทของบริการที่ทำงานอยู่ และหากสำเร็จ จะพิจารณาถึงช่องโหว่ของบริการนั้น อย่างที่คุณเห็นระบบที่กำหนดค่าอย่างถูกต้องนั้นค่อนข้างปลอดภัย แต่คุณไม่ควรทิ้งกุญแจไว้ใต้พรมโดยมีพอร์ตเปิด 1723 (VPN) และ 3389 (RDP ส่งต่อไปยัง เทอร์มินัลเซิร์ฟเวอร์) เป็นเหตุผลที่ดีในการคำนึงถึงนโยบายรหัสผ่านของคุณ

เราควรพูดถึงความปลอดภัย SSH ด้วย โดยปกติผู้ดูแลระบบจะใช้บริการนี้เพื่อ รีโมทเซิร์ฟเวอร์และเป็นที่สนใจของผู้โจมตีมากขึ้น การตั้งค่า SSH จะถูกจัดเก็บไว้ในไฟล์ /etc/ssh/sshd_config.phpการเปลี่ยนแปลงทั้งหมดที่อธิบายไว้ด้านล่างนี้เกิดขึ้นแล้ว ก่อนอื่นคุณควรปิดการใช้งานการอนุญาตภายใต้ผู้ใช้รูท โดยเพิ่มตัวเลือก:

หมายเลข PermitRootLogin

ตอนนี้ผู้โจมตีจะต้องเดาไม่เพียงแค่รหัสผ่านเท่านั้น แต่ยังต้องเดาการเข้าสู่ระบบด้วย และเขาจะยังไม่ทราบรหัสผ่าน superuser (เราหวังว่ามันจะไม่ตรงกับรหัสผ่านของคุณ) งานธุรการทั้งหมดเมื่อเชื่อมต่อจากภายนอกควรดำเนินการจากด้านล่าง ซูโดะเข้าสู่ระบบในฐานะผู้ใช้ที่ไม่มีสิทธิ์

ควรระบุรายชื่อผู้ใช้ที่ได้รับอนุญาตอย่างชัดเจนและคุณสามารถใช้รายการเช่น ผู้ใช้@โฮสต์ซึ่งอนุญาตให้ผู้ใช้ที่ระบุเชื่อมต่อจากโฮสต์ที่ระบุเท่านั้น ตัวอย่างเช่น หากต้องการอนุญาตให้ผู้ใช้ ivanov เชื่อมต่อจากที่บ้าน (IP 1.2.3.4) คุณควรเพิ่มรายการต่อไปนี้:

อนุญาตผู้ใช้ [ป้องกันอีเมล]

ปิดใช้งานการใช้โปรโตคอล SSH1 ที่ล้าสมัยและปลอดภัยน้อยกว่าด้วย โดยอนุญาตให้ใช้โปรโตคอลเวอร์ชันที่สองเท่านั้น ในการดำเนินการนี้ ให้เปลี่ยนบรรทัดต่อไปนี้เป็นรูปแบบ:

พิธีสาร 2

แม้จะมีมาตรการทั้งหมดแล้ว แต่ก็ยังมีความพยายามที่จะเชื่อมต่อกับ SSH และบริการสาธารณะอื่น ๆ เพื่อป้องกันการเดารหัสผ่าน ให้ใช้ยูทิลิตี้นี้ ล้มเหลว2แบนซึ่งช่วยให้คุณสามารถแบนผู้ใช้โดยอัตโนมัติหลังจากพยายามเข้าสู่ระบบไม่สำเร็จหลายครั้ง คุณสามารถติดตั้งได้ด้วยคำสั่ง:

Sudo apt-get ติดตั้งล้มเหลว 2ban

ยูทิลิตี้นี้พร้อมใช้งานทันทีหลังการติดตั้ง อย่างไรก็ตาม เราขอแนะนำให้คุณเปลี่ยนพารามิเตอร์บางตัวทันที โดยทำการเปลี่ยนแปลงไฟล์ /etc/fail2ban/jail.conf. ตามค่าเริ่มต้น จะมีการควบคุมเฉพาะการเข้าถึง SSH เท่านั้น และเวลาแบนคือ 10 นาที (600 วินาที) ในความเห็นของเรา การเพิ่มโดยการเปลี่ยนตัวเลือกต่อไปนี้:

แบนไทม์ = 6000

จากนั้นเลื่อนดูไฟล์และเปิดใช้งานส่วนต่างๆ สำหรับบริการที่ทำงานบนระบบของคุณโดยการตั้งค่าพารามิเตอร์หลังชื่อของส่วนที่เกี่ยวข้อง เปิดใช้งานในรัฐ จริงเช่น สำหรับการบริการ proftpdมันจะมีลักษณะเช่นนี้:

เปิดใช้งาน = จริง

อื่น พารามิเตอร์ที่สำคัญ แม็กซ์เรทรีทรีซึ่งรับผิดชอบในจำนวนครั้งสูงสุดของความพยายามในการเชื่อมต่อ หลังจากเปลี่ยนการตั้งค่าแล้วอย่าลืมรีสตาร์ทบริการ:

Sudo /etc/init.d/fail2ban รีสตาร์ท

คุณสามารถดูบันทึกยูทิลิตี้ได้ที่ /var/log/fail2ban.log.

ตาม cvedetails.com ตั้งแต่ปี 1999 พบช่องโหว่ 1,305 รายการในเคอร์เนล Linux โดยพบ 68 รายการในปี 2558 ส่วนใหญ่ไม่มีปัญหาพิเศษใดๆ โดยจะมีเครื่องหมายเป็น Local และ Low และบางรายการสามารถเรียกได้เฉพาะเมื่อเชื่อมโยงกับแอปพลิเคชันหรือการตั้งค่าระบบปฏิบัติการบางอย่างเท่านั้น โดยหลักการแล้ว ตัวเลขจะน้อย แต่เคอร์เนลไม่ใช่ระบบปฏิบัติการทั้งหมด ยังพบช่องโหว่ใน GNU Coreutils, Binutils, glibs และแน่นอนในแอปพลิเคชันของผู้ใช้ ลองดูสิ่งที่น่าสนใจที่สุด

ช่องโหว่ในเคอร์เนล LINUX

ระบบปฏิบัติการ:ลินุกซ์
ระดับ:ปานกลาง, ต่ำ
เวกเตอร์:ระยะไกล
ประวัติการศึกษา: CVE-2015-3331, CVE-2015-4001, CVE-2015-4002, CVE-2015-4003
ใช้ประโยชน์:แนวคิด https://lkml.org/lkml/2015/5/13/740, https://lkml.org/lkml/2015/5/13/744

ช่องโหว่ที่พบในเดือนมิถุนายนในเคอร์เนล Linux ก่อนเวอร์ชัน 3.19.3 ในฟังก์ชัน __driver_rfc4106_decrypt ใน arch/x86/crypto/aesni-intel_glue.c มีสาเหตุมาจากการใช้งาน RFC4106 สำหรับโปรเซสเซอร์ x86 ที่รองรับส่วนขยายชุดคำสั่ง AES AES-NI (เสนอ Intel, Intel Advanced Encryption Standard Instructions) ไม่สามารถคำนวณที่อยู่บัฟเฟอร์ได้อย่างถูกต้องในบางกรณี หากอุโมงค์ IPsec ได้รับการกำหนดค่าให้ใช้โหมดนี้ (อัลกอริทึม AES - CONFIG_CRYPTO_AES_NI_INTEL) ช่องโหว่อาจนำไปสู่ความเสียหายของหน่วยความจำ การหยุดทำงาน และอาจมีการเรียกใช้โค้ด CryptoAPI จากระยะไกลได้ นอกจากนี้ สิ่งที่น่าสนใจที่สุดก็คือปัญหาสามารถเกิดขึ้นได้ด้วยตัวเอง บนการจราจรที่ถูกกฎหมายโดยสมบูรณ์ โดยไม่มีการแทรกแซงจากภายนอก ในขณะที่ตีพิมพ์ ปัญหาได้รับการแก้ไขแล้ว

พบช่องโหว่ 5 รายการในไดรเวอร์ ozwpan ของ Linux 4.0.5 ซึ่งมีสถานะทดลอง โดย 4 รายการในนั้นอนุญาตให้คุณจัดการการโจมตี DoS โดยการแคร็กเคอร์เนลโดยการส่งแพ็กเก็ตที่ออกแบบมาเป็นพิเศษ ปัญหาเกี่ยวข้องกับบัฟเฟอร์ล้นเนื่องจากการจัดการจำนวนเต็มที่ลงนามไม่ถูกต้อง ซึ่งการคำนวณในหน่วย memcpy ระหว่าง required_size และ offset ส่งคืนจำนวนลบ ด้วยเหตุนี้ ข้อมูลจึงถูกคัดลอกไปยังฮีป

พบได้ในฟังก์ชัน oz_hcd_get_desc_cnf ใน drivers/staging/ozwpan/ozhcd.c และในฟังก์ชัน oz_usb_rx และ oz_usb_handle_ep_data ของไฟล์ drivers/staging/ozwpan/ozusbsvc1.c ช่องโหว่อื่นๆ เกี่ยวข้องกับการหารด้วย 0 การวนซ้ำของระบบ หรือความสามารถในการอ่านจากพื้นที่นอกขอบเขตของบัฟเฟอร์ที่จัดสรร

ไดรเวอร์ ozwpan ซึ่งเป็นส่วนเสริมใหม่ของ Linux สามารถจับคู่กับอุปกรณ์ไร้สายที่มีอยู่ซึ่งเข้ากันได้กับเทคโนโลยี Ozmo Devices ( Wi-Fi ตรง). ให้การใช้งานคอนโทรลเลอร์โฮสต์ USB แต่เคล็ดลับก็คืออุปกรณ์ต่อพ่วงจะสื่อสารผ่าน Wi-Fi แทนการเชื่อมต่อทางกายภาพ ไดรเวอร์ยอมรับแพ็กเก็ตเครือข่ายประเภท (ethertype) 0x892e จากนั้นแยกวิเคราะห์และแปลเป็นฟังก์ชัน USB ต่างๆ ขณะนี้มีการใช้ในบางกรณี ดังนั้นจึงสามารถปิดใช้งานได้โดยยกเลิกการโหลดโมดูล ozwpan.ko

ลินุกซ์ อูบุนตู

ระบบปฏิบัติการ: ลินุกซ์ อูบุนตู 04/12–04/58 (แกนหลักจนถึงวันที่ 15 มิถุนายน 2558)
ระดับ:วิกฤต
เวกเตอร์:ท้องถิ่น
ประวัติการศึกษา: CVE-2015-1328
ใช้ประโยชน์: https://www.exploit-db.com/exploits/37292/

ช่องโหว่ที่สำคัญในระบบไฟล์ OverlayFS ช่วยให้สามารถเข้าถึงรูทบนระบบ Ubuntu ที่อนุญาตให้ติดตั้งพาร์ติชัน OverlayFS โดยผู้ใช้ที่ไม่มีสิทธิ์ การตั้งค่าเริ่มต้นที่จำเป็นสำหรับการหาประโยชน์จากช่องโหว่นั้นจะใช้ในทุกสาขาของ Ubuntu 12.04–15.04 OverlayFS ปรากฏในเคอร์เนล Linux ค่อนข้างเร็ว ๆ นี้ - เริ่มต้นด้วย 3.18-rc2 (2014) เป็นการพัฒนา SUSE เพื่อแทนที่ UnionFS และ AUFS OverlayFS ช่วยให้คุณสร้างมัลติเลเยอร์เสมือนได้ ระบบไฟล์ซึ่งรวมเอาหลายส่วนของระบบไฟล์อื่นๆ เข้าด้วยกัน

ระบบไฟล์ถูกสร้างขึ้นจากชั้นล่างและชั้นบน ซึ่งแต่ละเลเยอร์จะแนบไปกับไดเร็กทอรีที่แยกจากกัน เลเยอร์ด้านล่างใช้สำหรับอ่านเฉพาะในไดเร็กทอรีของระบบไฟล์ใด ๆ ที่รองรับ Linux รวมถึงระบบเครือข่ายด้วย ชั้นบนสุดมักจะเขียนได้และจะแทนที่ข้อมูลในชั้นล่างสุดหากไฟล์ซ้ำกัน เป็นที่ต้องการในการเผยแพร่สด ระบบการจำลองเสมือนของคอนเทนเนอร์ และการจัดระเบียบการทำงานของคอนเทนเนอร์สำหรับแอปพลิเคชันเดสก์ท็อปบางตัว เนมสเปซผู้ใช้ช่วยให้คุณสร้างชุดรหัสผู้ใช้และกลุ่มของคุณเองในคอนเทนเนอร์ได้ ช่องโหว่นี้เกิดจากการตรวจสอบสิทธิ์การเข้าถึงที่ไม่ถูกต้องเมื่อสร้างไฟล์ใหม่ในไดเร็กทอรีของระบบไฟล์ที่ซ่อนอยู่

หากเคอร์เนลถูกสร้างขึ้นด้วย CONFIG_USER_NS=y (เปิดใช้งานเนมสเปซผู้ใช้) และมีการระบุแฟล็ก FS_USERNS_MOUNT เมื่อทำการติดตั้ง ผู้ใช้ปกติจะสามารถติดตั้ง OverlayFS ในเนมสเปซอื่นได้ รวมถึงที่การดำเนินการด้วย สิทธิ์รูท. ในกรณีนี้ การดำเนินการกับไฟล์ที่มีสิทธิ์รูทที่ดำเนินการในเนมสเปซดังกล่าวจะได้รับสิทธิพิเศษเดียวกันเมื่อดำเนินการกับระบบไฟล์พื้นฐาน ดังนั้นคุณจึงสามารถเมาต์พาร์ติชัน FS และดูหรือแก้ไขไฟล์หรือไดเร็กทอรีใดก็ได้

ในขณะที่เผยแพร่ การอัปเดตเคอร์เนลด้วยโมดูล OverlayFS แบบคงที่จาก Ubuntu ก็มีให้ใช้งานแล้ว และหากระบบได้รับการอัพเดตก็ไม่น่าจะมีปัญหาอะไร ในกรณีเดียวกัน เมื่อไม่สามารถอัพเดตได้ คุณควรหยุดใช้ OverlayFS โดยการลบโมดูล overlayfs.ko เพื่อเป็นมาตรการชั่วคราว

ช่องโหว่ในการใช้งานที่สำคัญ

ระบบปฏิบัติการ:ลินุกซ์
ระดับ:วิกฤต
เวกเตอร์:ท้องถิ่นระยะไกล
ประวัติการศึกษา: CVE-2015-0235
ใช้ประโยชน์: https://www.qualys.com/research/security-advisories/exim_ghost_bof.rb

จุดอ่อนที่เป็นอันตรายใน ห้องสมุดมาตรฐาน GNU glibc ซึ่งเป็นส่วนหลักของ Linux OS และใน Oracle Communications Applications และ Oracle Pillar Axiom บางเวอร์ชัน ถูกค้นพบระหว่างการตรวจสอบโค้ดโดยแฮ็กเกอร์ Qualys ได้รับโค้ดชื่อ GHOST นี่เป็นบัฟเฟอร์ล้นภายในฟังก์ชัน __nss_hostname_digits_dots() ซึ่งใช้โดยฟังก์ชัน glibc เช่น gethostbyname() และ gethostbyname2() เพื่อรับชื่อโฮสต์ (จึงเป็นที่มาของชื่อ GetHOST) เพื่อใช้ประโยชน์จากช่องโหว่ คุณต้องทำให้เกิดบัฟเฟอร์ล้นโดยใช้อาร์กิวเมนต์ชื่อโฮสต์ที่ไม่ถูกต้องกับแอปพลิเคชันที่ทำการจำแนกชื่อผ่าน DNS นั่นคือตามทฤษฎีแล้ว ช่องโหว่นี้สามารถนำไปใช้กับแอปพลิเคชันใดๆ ที่ใช้เครือข่ายได้ในระดับหนึ่งหรืออย่างอื่น สามารถเรียกได้ทั้งในเครื่องและจากระยะไกล ทำให้สามารถรันโค้ดได้ตามใจชอบ

สิ่งที่น่าสนใจที่สุดคือข้อผิดพลาดได้รับการแก้ไขในเดือนพฤษภาคม 2556 มีการนำเสนอแพตช์ระหว่างการเปิดตัว glibc 2.17 และ 2.18 แต่ปัญหาไม่ได้ถูกจัดว่าเป็นแพตช์รักษาความปลอดภัยดังนั้นจึงไม่มีการให้ความสนใจ เป็นผลให้การแจกแจงจำนวนมากกลายเป็นช่องโหว่ มีรายงานเบื้องต้นว่าเวอร์ชันที่มีช่องโหว่แรกสุดคือ 2.2 ลงวันที่ 10 พฤศจิกายน พ.ศ. 2543 แต่มีความเป็นไปได้ที่จะปรากฏเป็น 2.0 การกระจาย RHEL/CentOS 5.x–7.x, Debian 7 และ Ubuntu 12.04 LTS ได้รับผลกระทบ โปรแกรมแก้ไขด่วนพร้อมใช้งานในขณะนี้ แฮกเกอร์เองก็เสนอยูทิลิตี้ที่อธิบายสาระสำคัญของช่องโหว่และช่วยให้คุณตรวจสอบระบบของคุณได้ ทุกอย่างเรียบร้อยดีใน ​​Ubuntu 12.04.4 LTS:

$ wget https : //goo.gl/RuunlE $gcc ส่วนสำคัญไฟล์1. ค - o CVE - 2015 - 0235 $. / CVE - 2015 - 0235 ไม่เสี่ยง

ตรวจสอบระบบบน GHOST

เกือบจะในทันทีที่มีการเปิดตัวโมดูลเพื่อให้สามารถเรียกใช้โค้ดจากระยะไกลบน x86 และ x86_64 Linux ด้วยการทำงาน เมลเซิร์ฟเวอร์ Exim (โดยเปิดใช้งาน helo_try_verify_hosts หรือ helo_verify_hosts) ต่อมามีการใช้งานอื่น ๆ เช่นโมดูล Metasploit สำหรับตรวจสอบบล็อกบน WordPress

ต่อมาในปี 2558 มีการค้นพบช่องโหว่อีกสามช่องโหว่ใน GNU glibc ซึ่งอนุญาตให้ผู้ใช้ระยะไกลทำการโจมตี DoS หรือเขียนทับเซลล์หน่วยความจำนอกขอบเขตสแต็ก: CVE-2015-1472, CVE-2015-1473, CVE-2015- พ.ศ. 2324

ระบบปฏิบัติการ:ลินุกซ์ (GNU Coreutils)
ระดับ:ต่ำ
เวกเตอร์:ท้องถิ่นระยะไกล
ประวัติการศึกษา: CVE-2014-9471
ใช้ประโยชน์:เลขที่

GNU Coreutils เป็นหนึ่งในแพ็คเกจ *nix หลัก รวมถึงยูทิลิตี้พื้นฐานเกือบทั้งหมด (cat, ls, rm, date...) พบปัญหาในวันที่ จุดบกพร่องในฟังก์ชัน parse_datetime ช่วยให้ผู้โจมตีระยะไกลไม่มี บัญชีบนระบบ ทำให้เกิดการปฏิเสธการบริการ และอาจรันโค้ดโดยอำเภอใจผ่านสตริงวันที่ที่สร้างขึ้นเป็นพิเศษโดยใช้เขตเวลา ช่องโหว่มีลักษณะดังนี้:

$ สัมผัส '-- วันที่ = TZ = ”123”345”@1' ความผิดพลาดในการแบ่งส่วน $ date - d 'TZ = ”ยุโรป / มอสโก” “00 : 00 + 1 ชั่วโมง”’ ความผิดพลาดในการแบ่งส่วน $ วันที่ '-- วันที่ = TZ = ”123”345”@1' * * * ข้อผิดพลาดใน `วันที่ ': ฟรี () : ตัวชี้ไม่ถูกต้อง : 0xbfc11414 * * *

ช่องโหว่ใน GNU Coreutils

หากไม่มีช่องโหว่ เราจะได้รับข้อความเกี่ยวกับรูปแบบวันที่ที่ไม่ถูกต้อง นักพัฒนาระบบ Linux เกือบทั้งหมดได้รายงานถึงช่องโหว่นี้แล้ว ขณะนี้มีการอัปเดตอยู่

เอาต์พุตปกติของ GNU Coreutils ที่ได้รับการแก้ไขแล้ว

ระบบปฏิบัติการ:ลินุกซ์ (grep 2.19–2.21)
ระดับ:ต่ำ
เวกเตอร์:ท้องถิ่น
ประวัติการศึกษา: CVE-2015-1345
ใช้ประโยชน์:เลขที่

ไม่ค่อยพบช่องโหว่ในยูทิลิตี้ grep ซึ่งใช้เพื่อค้นหาข้อความโดยใช้รูปแบบ แต่ยูทิลิตี้นี้มักถูกเรียกโดยโปรแกรมอื่นรวมถึงระบบด้วย ดังนั้นการมีช่องโหว่จึงเป็นปัญหามากกว่าที่เห็นเมื่อเห็นแวบแรก จุดบกพร่องในฟังก์ชัน bmexec_trans ใน kwset.c อาจส่งผลให้มีการอ่านข้อมูลที่ยังไม่ได้เตรียมใช้งานจากพื้นที่นอกบัฟเฟอร์ที่จัดสรร หรือทำให้แอปพลิเคชันหยุดทำงาน แฮกเกอร์สามารถใช้ประโยชน์จากสิ่งนี้ได้โดยการสร้างชุดข้อมูลพิเศษที่จัดเตรียมให้กับอินพุตของแอปพลิเคชันโดยใช้ grep -F การอัปเดตที่มีอยู่ในปัจจุบัน ไม่มีช่องโหว่ที่ใช้ช่องโหว่หรือโมดูลสำหรับ Metasploit

ช่องโหว่ใน FREEBSD

ระบบปฏิบัติการ:ฟรีBSD
ระดับ:ต่ำ
เวกเตอร์:ท้องถิ่นระยะไกล
ประวัติการศึกษา: CVE-2014-0998, CVE-2014-8612, CVE-2014-8613
ใช้ประโยชน์: https://www.exploit-db.com/exploits/35938/

ในฐานข้อมูล CVE ในปี 2558 มีช่องโหว่ไม่มากนักหรือให้แม่นยำยิ่งขึ้น - มีเพียงหกช่องโหว่เท่านั้น พบช่องโหว่สามรายการใน FreeBSD 8.4–10.x เมื่อปลายเดือนมกราคม 2558 โดยนักวิจัยจากทีม Core Exploit Writers CVE-2014-0998 เกี่ยวข้องกับการปรับใช้ไดรเวอร์คอนโซล VT (Newcons) ซึ่งมีเทอร์มินัลเสมือนหลายตัว เปิดใช้งานโดยพารามิเตอร์ kern.vty=vt ใน /boot/loader.conf
CVE-2014-8612 เกิดขึ้นเมื่อใช้โปรโตคอล SCTP และเกิดจากข้อผิดพลาดในรหัสยืนยันรหัสสตรีม SCTP ที่ใช้ซ็อกเก็ต SCTP (พอร์ตภายในเครื่อง 4444) สาระสำคัญคือข้อผิดพลาดหน่วยความจำไม่เพียงพอในฟังก์ชัน sctp_setopt() (sys/netinet/sctp_userreq.c) สิ่งนี้ทำให้ผู้ใช้ที่ไม่มีสิทธิ์เฉพาะสามารถเขียนหรืออ่านข้อมูลหน่วยความจำเคอร์เนล 16 บิต และเพิ่มสิทธิ์บนระบบ เปิดเผยข้อมูลที่ละเอียดอ่อน หรือทำให้ระบบเสียหาย

CVE-2014-8613 อนุญาตให้ทริกเกอร์การยกเลิกการอ้างอิงตัวชี้ NULL เมื่อประมวลผลแพ็กเก็ต SCTP ที่ได้รับจากภายนอกเมื่อมีการตั้งค่าตัวเลือกซ็อกเก็ต SCTP_SS_VALUE SCTP ต่างจากเวอร์ชันก่อนหน้า CVE-2014-8613 สามารถใช้เพื่อทำให้เคอร์เนลล่มจากระยะไกลได้ด้วยการส่งแพ็กเก็ตที่สร้างขึ้นเป็นพิเศษ ใน FreeBSD 10.1 คุณสามารถป้องกันตัวเองได้โดยการตั้งค่าตัวแปร net.inet.sctp.reconfig_enable เป็น 0 ซึ่งจะปิดการใช้งานการประมวลผลของบล็อก RE_CONFIG หรือเพียงแค่ห้ามการใช้งาน (เบราว์เซอร์ โปรแกรมรับส่งเมลและอื่น ๆ) แม้ว่าในขณะที่เผยแพร่ผู้พัฒนาได้เผยแพร่การอัปเดตแล้ว

สถิติช่องโหว่ของ FreeBSD

ช่องโหว่ใน OPENSSL

ระบบปฏิบัติการ: OpenSSL
ระดับ:ระยะไกล
เวกเตอร์:ท้องถิ่น
ประวัติการศึกษา: CVE-2015-1793
ใช้ประโยชน์:เลขที่

ในปี 2014 มีการค้นพบช่องโหว่ Heartbleed ที่สำคัญใน OpenSSL ซึ่งเป็นแพ็คเกจการเข้ารหัสที่ใช้กันอย่างแพร่หลายสำหรับการทำงานกับ SSL/TLS เหตุการณ์ที่เกิดขึ้นครั้งหนึ่งทำให้เกิดการวิพากษ์วิจารณ์อย่างมากเกี่ยวกับคุณภาพของโค้ด และในอีกด้านหนึ่ง สิ่งนี้นำไปสู่การเกิดขึ้นของทางเลือกอื่น ๆ เช่น LibreSSL ในทางกลับกัน นักพัฒนาเองก็ลงมือทำธุรกิจในที่สุด

ผู้จำหน่ายชั้นนำตามช่องโหว่

ช่องโหว่ร้ายแรงนี้ถูกค้นพบโดย Adam Langley จาก Google และ David Benjamin จาก BoringSSL การเปลี่ยนแปลงที่ทำใน OpenSSL เวอร์ชัน 1.0.1n และ 1.0.2b ทำให้ OpenSSL พยายามค้นหาห่วงโซ่การตรวจสอบใบรับรองอื่น หากความพยายามครั้งแรกในการสร้างห่วงโซ่ความน่าเชื่อถือไม่สำเร็จ สิ่งนี้ทำให้คุณสามารถข้ามขั้นตอนการตรวจสอบใบรับรองและจัดการการเชื่อมต่อที่ได้รับการยืนยันโดยใช้ใบรับรองปลอม หรืออีกนัยหนึ่ง - เพื่อหลอกล่อผู้ใช้ไปยังไซต์หรือเซิร์ฟเวอร์ปลอมอย่างใจเย็น อีเมลหรือใช้การโจมตี MITM ที่ใช้ใบรับรอง

หลังจากค้นพบช่องโหว่ นักพัฒนาได้เผยแพร่เวอร์ชัน 1.0.1p และ 1.0.2d ในวันที่ 9 กรกฎาคม ซึ่งแก้ไขปัญหานี้ได้ เวอร์ชัน 0.9.8 หรือ 1.0.0 ไม่มีช่องโหว่นี้

Linux.ตัวเข้ารหัส

ช่วงปลายฤดูใบไม้ร่วงมีการปรากฏตัวของไวรัสเข้ารหัสจำนวนหนึ่ง ตัวแรกคือ Linux.Encoder.0 ตามมาด้วยการแก้ไข Linux.Encoder.1 และ Linux.Encoder.2 ซึ่งแพร่ระบาดไปยังไซต์มากกว่า 2,500 แห่ง จากข้อมูลของบริษัทป้องกันไวรัส เซิร์ฟเวอร์ Linux และ FreeBSD ที่มีเว็บไซต์ที่ทำงานโดยใช้ CMS ต่างๆ เช่น WordPress, Magento CMS, Joomla และอื่นๆ กำลังถูกโจมตี แฮกเกอร์กำลังใช้ประโยชน์จากช่องโหว่ที่ไม่สามารถระบุได้ ถัดไปมีการวางเชลล์สคริปต์ (ไฟล์ error.php) ด้วยความช่วยเหลือใดๆ การดำเนินการเพิ่มเติม(ผ่านเบราว์เซอร์) โดยเฉพาะอย่างยิ่งมีการเปิดตัวโทรจันตัวเข้ารหัส Linux

ตัวเข้ารหัสซึ่งกำหนดสถาปัตยกรรมระบบปฏิบัติการและเปิดตัวแรนซัมแวร์ ตัวเข้ารหัสเปิดตัวด้วยสิทธิ์ของเว็บเซิร์ฟเวอร์ (Ubuntu - www-data) ซึ่งเพียงพอสำหรับการเข้ารหัสไฟล์ในไดเร็กทอรีที่เก็บไฟล์ CMS และส่วนประกอบต่างๆ ไฟล์ที่เข้ารหัสจะได้รับนามสกุลใหม่เข้ารหัส

แรนซัมแวร์ยังพยายามเลี่ยงผ่านไดเร็กทอรี OS อื่น ๆ หากมีการกำหนดค่าสิทธิ์ไม่ถูกต้องก็อาจเกินขอบเขตของเว็บไซต์ได้อย่างง่ายดาย จากนั้น ไฟล์ README_FOR_DECRYPT.txt จะถูกบันทึกลงในไดเร็กทอรี ซึ่งมีคำแนะนำในการถอดรหัสไฟล์และข้อกำหนดของแฮ็กเกอร์ บน ช่วงเวลานี้บริษัทป้องกันไวรัสได้แนะนำโปรแกรมอรรถประโยชน์ที่ช่วยให้คุณสามารถถอดรหัสไดเร็กทอรีได้ ตัวอย่างเช่น ชุดจาก Bitdefender แต่คุณต้องจำไว้ว่ายูทิลิตี้ทั้งหมดที่ออกแบบมาเพื่อถอดรหัสไฟล์ไม่ได้ลบเชลล์โค้ดและทุกอย่างสามารถเกิดขึ้นได้อีกครั้ง

เมื่อพิจารณาว่าผู้ใช้จำนวนมากที่พัฒนาหรือทดลองดูแลเว็บไซต์มักจะติดตั้งเว็บเซิร์ฟเวอร์ไว้ คอมพิวเตอร์ที่บ้านคุณควรกังวลเกี่ยวกับความปลอดภัย: บล็อกการเข้าถึงจากภายนอก อัปเดตซอฟต์แวร์ ทำการทดลองบน VM และแนวคิดนี้สามารถนำไปใช้ในอนาคตเพื่อโจมตีระบบภายในบ้านได้

บทสรุป

ไม่มีซอฟต์แวร์ที่ซับซ้อนซึ่งปราศจากข้อผิดพลาด ดังนั้นคุณต้องยอมรับความจริงที่ว่าช่องโหว่ต่างๆ จะถูกค้นพบอย่างต่อเนื่อง แต่ไม่ใช่ทั้งหมดที่จะเป็นปัญหาได้อย่างแท้จริง และคุณสามารถป้องกันตัวเองด้วยการรับประทาน ขั้นตอนง่ายๆ: ลบซอฟต์แวร์ที่ไม่ได้ใช้ ตรวจสอบช่องโหว่ใหม่ และอย่าลืมติดตั้งการอัปเดตความปลอดภัย กำหนดค่าไฟร์วอลล์ ติดตั้งโปรแกรมป้องกันไวรัส และอย่าลืมเกี่ยวกับเทคโนโลยีพิเศษเช่น SELinux ซึ่งค่อนข้างสามารถทำลาย daemon หรือแอปพลิเคชันผู้ใช้ได้