หลายวันผ่านไปพวกเขาวิ่งผ่านตาข่าย รายงานการโจมตี พวกเขาใช้ประโยชน์จากช่องโหว่ใน PHP ซึ่งทำให้ไซต์ที่ถูกกฎหมายบางแห่งสามารถให้บริการหน้าเว็บและโฆษณาที่หลอกลวงโดยเปิดเผยผู้เยี่ยมชมให้ติดตั้งมัลแวร์บนคอมพิวเตอร์ของตน การโจมตีเหล่านี้ใช้ประโยชน์จากไฟล์ ช่องโหว่ของ PHP ที่สำคัญอย่างยิ่ง เปิดเผยต่อสาธารณะเมื่อ 22 เดือนที่แล้วและมีการเผยแพร่การอัปเดตที่เกี่ยวข้อง
บางคนเริ่มชี้ให้เห็นอย่างชัดเจนว่าส่วนที่ดีของเซิร์ฟเวอร์ที่ถูกโจมตีในการโจมตีเหล่านี้กำลังเรียกใช้เวอร์ชันของ GNU / Linux โดยแสร้งทำเป็นถามถึงความปลอดภัยของระบบปฏิบัติการนี้ แต่ไม่ได้ลงรายละเอียดเกี่ยวกับลักษณะของช่องโหว่หรือเหตุผล ทำไมสิ่งนี้จึงเกิดขึ้น
ระบบที่ติดไวรัส GNU / Linuxในทุกกรณีพวกเขากำลังเรียกใช้ไฟล์ เคอร์เนล Linux เวอร์ชัน 2.6วางจำหน่ายในปี 2007 หรือก่อนหน้านั้น ไม่ว่าในกรณีใดจะกล่าวถึงการติดเชื้อของระบบที่ใช้เมล็ดพันธุ์ที่เหนือกว่าหรือได้รับการปรับปรุงอย่างถูกต้อง แต่แน่นอนว่ายังมีผู้ดูแลระบบที่คิดว่า "... ถ้าไม่พังก็ไม่ต้องซ่อม" แล้วสิ่งเหล่านี้ก็เกิดขึ้น
นอกจากนี้ การศึกษาล่าสุดโดย บริษัท รักษาความปลอดภัย ESETเปิดเผยการโทรโดยละเอียด "ปฏิบัติการวินดิโก"ซึ่งผ่านชุดโจมตีหลายชุดรวมถึงชุดที่เรียกว่า จุก ออกแบบมาเป็นพิเศษสำหรับ Apache และเว็บเซิร์ฟเวอร์โอเพ่นซอร์สยอดนิยมอื่น ๆ เช่นเดียวกับอีกชื่อหนึ่งที่เรียกว่า เอเบอรี่ SSHได้รับ ระบบ GNU / Linux มากกว่า 26,000 ระบบถูกบุกรุก ตั้งแต่เดือนพฤษภาคมปีที่แล้วนั่นหมายความว่า GNU / Linux ไม่ปลอดภัยอีกต่อไปหรือไม่?
ก่อนอื่นให้คำนึงถึงบริบทหากเราเปรียบเทียบตัวเลขก่อนหน้านี้กับคอมพิวเตอร์ Windows เกือบ 2 ล้านเครื่องที่ถูกบุกรุกโดย bootnet ZeroAccess ก่อนจะปิดตัวลงในเดือนธันวาคม 2013 สรุปง่ายๆว่าในแง่ของความปลอดภัย ระบบ GNU / Linux ยังมีความปลอดภัยมากกว่า มากกว่าระบบปฏิบัติการ Microsoft แต่เป็นความผิดของ GNU / Linux ที่ระบบปฏิบัติการ 26,000 ระบบถูกบุกรุกหรือไม่?
เช่นเดียวกับในกรณีของช่องโหว่ของ PHP ที่สำคัญที่กล่าวถึงข้างต้นซึ่งส่งผลกระทบต่อระบบที่ไม่มีการอัปเดตเคอร์เนลการโจมตีอื่น ๆ เหล่านี้เกี่ยวข้องกับระบบที่ไม่มีการเปลี่ยนชื่อผู้ใช้และ / หรือรหัสผ่านเริ่มต้นและยังคงรักษา พอร์ต 23 และ 80 เปิดโดยไม่จำเป็น; มันเป็นความผิดของ GNU / Linux จริงหรือ?
เห็นได้ชัดว่าคำตอบคือไม่ปัญหาไม่ใช่ระบบปฏิบัติการที่ใช้ แต่เป็นความไม่รับผิดชอบและการละเลยของผู้ดูแลระบบเหล่านั้นซึ่งไม่เข้าใจค่าสูงสุดที่ระบุโดยผู้เชี่ยวชาญด้านความปลอดภัย Bruce schneier ที่ควรจะถูกเผาเข้าไปในสมองของเรา: ความปลอดภัยเป็นกระบวนการที่ไม่ใช่ผลิตภัณฑ์.
จะไม่มีประโยชน์หากเราติดตั้งระบบที่ปลอดภัยที่ได้รับการพิสูจน์แล้วหากปล่อยทิ้งไว้และไม่ติดตั้งการอัปเดตที่เกี่ยวข้องทันทีที่ปล่อยออกมา ในทำนองเดียวกันไม่มีประโยชน์ที่จะอัปเดตระบบของเราหากข้อมูลรับรองการตรวจสอบสิทธิ์ที่ปรากฏตามค่าเริ่มต้นระหว่างการติดตั้งยังคงถูกใช้ต่อไป ในทั้งสองกรณีก็คือ ขั้นตอนการรักษาความปลอดภัยเบื้องต้นซึ่งไม่ได้เกิดจากการทำซ้ำถูกนำไปใช้อย่างเหมาะสม
หากคุณมีระบบ GNU / Linux ที่มี Apache หรือเว็บเซิร์ฟเวอร์โอเพ่นซอร์สอื่นอยู่ภายใต้การดูแลของคุณและคุณต้องการตรวจสอบว่าถูกบุกรุกหรือไม่ขั้นตอนนั้นง่ายมาก ในกรณีของ ฝังคุณต้องเปิดเทอร์มินัลและพิมพ์คำสั่งต่อไปนี้:
ssh -G
หากคำตอบแตกต่างจาก:
ssh: illegal option – G
จากนั้นรายการตัวเลือกที่ถูกต้องสำหรับคำสั่งนั้นระบบของคุณจะถูกบุกรุก
ในกรณีของ จุกขั้นตอนซับซ้อนกว่าเล็กน้อย คุณต้องเปิดเทอร์มินัลและเขียน:
curl -i http://myserver/favicon.iso | grep "Location:"
หากระบบของคุณถูกบุกรุกแล้ว จุก มันจะเปลี่ยนเส้นทางคำขอและให้ผลลัพธ์ต่อไปนี้:
Location: http://google.com
มิฉะนั้นจะไม่ส่งคืนสิ่งใดหรือสถานที่อื่น
รูปแบบของการฆ่าเชื้ออาจดูเหมือนหยาบ แต่เป็นวิธีเดียวที่พิสูจน์แล้วว่ามีประสิทธิภาพ: เช็ดเต็มระบบ, การติดตั้งใหม่ตั้งแต่เริ่มต้นและ รีเซ็ตข้อมูลรับรองทั้งหมด ผู้ใช้และผู้ดูแลระบบจากเทอร์มินัลที่ไม่ได้ผูกมัด ถ้าคุณดูยากให้คิดว่าหากคุณเปลี่ยนข้อมูลรับรองในทันทีคุณจะไม่มีทางบุกรุกระบบได้
สำหรับการวิเคราะห์โดยละเอียดมากขึ้นเกี่ยวกับวิธีการติดเชื้อเหล่านี้รวมถึงวิธีการเฉพาะที่ใช้ในการแพร่กระจายและมาตรการที่เกี่ยวข้องเราขอแนะนำให้ดาวน์โหลดและอ่านบทวิเคราะห์ทั้งหมดของ "ปฏิบัติการวินดิโก" ได้ที่ลิงค์ต่อไปนี้:
ในที่สุด, a ข้อสรุปพื้นฐาน: ไม่มีระบบปฏิบัติการที่รับประกันกับผู้ดูแลระบบที่ขาดความรับผิดชอบหรือประมาท; ด้านความปลอดภัยมีสิ่งที่ต้องทำเสมอเพราะข้อผิดพลาดประการแรกและร้ายแรงที่สุดคือการคิดว่าเราทำสำเร็จแล้วหรือคุณไม่คิดอย่างนั้น?
ทุกอย่างเป็นเรื่องจริงคนเรา "เกิดขึ้น" แล้วอะไรก็เกิดขึ้น ฉันเห็นมันทุกวันกับปัญหาของการอัปเดตโดยไม่คำนึงถึงระบบ (Linux, Windows, Mac, Android ... ) ที่ผู้คนไม่ทำการอัปเดตพวกเขาขี้เกียจไม่มีเวลาฉันไม่เล่นในกรณีที่ ...
และไม่เพียงแค่นั้น แต่ยังเปลี่ยนจากการเปลี่ยนข้อมูลรับรองเริ่มต้นหรือใช้รหัสผ่านต่อไปเช่น "1234" และชอบแล้วบ่น และใช่คุณพูดถูกไม่ว่าจะใช้ระบบปฏิบัติการใดข้อผิดพลาดก็เหมือนกัน
ขอบคุณมากที่แวะเข้ามาแสดงความคิดเห็น ...
ยอดเยี่ยม! จริงมากในทุกสิ่ง!
ขอบคุณสำหรับความคิดเห็นและที่แวะมา ...
คำสั่งที่สมบูรณ์ยิ่งขึ้นที่ฉันพบในเครือข่ายของผู้ใช้ @Matt:
ssh -G 2> & 1 | grep -e ผิดกฎหมาย -e ไม่ทราบ> / dev / null && echo "System clean" || echo "ระบบติดไวรัส"
Waoh! ... ดีกว่ามากคำสั่งบอกคุณโดยตรงแล้ว
ขอบคุณสำหรับการสนับสนุนและการหยุดโดย
ฉันเห็นด้วยกับคุณอย่างเต็มที่ความปลอดภัยคือการปรับปรุงอย่างต่อเนื่อง!
บทความยอดเยี่ยม!
ขอบคุณมากสำหรับความคิดเห็นและที่แวะมา ...
จริงมากมันเป็นงานมดที่คุณต้องตรวจสอบและดูแลความปลอดภัยอยู่เสมอ
บทความดีๆเมื่อคืนคู่หูของฉันบอกฉันเกี่ยวกับการทำงานของ Windigo ที่เขาอ่านในข่าว: "ไม่ใช่ว่า Linux ไม่สามารถติดเชื้อได้" และเขาบอกว่ามันขึ้นอยู่กับหลาย ๆ อย่างไม่ใช่เฉพาะ Linux หรือไม่แน่ใจ .
ฉันจะแนะนำให้คุณอ่านบทความนี้แม้ว่าคุณจะไม่เข้าใจอะไรเกี่ยวกับเทคนิค XD ก็ตาม
น่าเสียดายที่เป็นความประทับใจที่เกิดจากข่าวประเภทนั้นซึ่งในความคิดของฉันมีเจตนาบิดเบือนความจริงโชคดีที่คู่ของคุณแสดงความคิดเห็นกับคุณเป็นอย่างน้อย แต่ตอนนี้เตรียมตัวสำหรับคำถามรอบหนึ่งหลังจากอ่านบทความแล้ว
ขอบคุณมากสำหรับความคิดเห็นและที่แวะมา ...
บทความที่ดีมาก Charlie ขอขอบคุณที่สละเวลา
ขอบคุณที่แวะเข้ามาแสดงความคิดเห็น ...
บทความดีมาก!
กอดปาโบล
ขอบคุณมาก Pablo กอด ...
ขอบคุณสำหรับข้อมูลที่คุณเผยแพร่และตกลงอย่างสมบูรณ์กับเกณฑ์ที่อธิบายโดยการอ้างอิงที่ดีมากในบทความของชไนเออร์ "ความปลอดภัยคือกระบวนการที่ไม่ใช่ผลิตภัณฑ์"
คำทักทายจากเวเนซุเอลา 😀
ขอบคุณสำหรับการแสดงความคิดเห็นและการหยุดโดย
ดี!
ก่อนอื่นผลงานยอดเยี่ยม !! ฉันอ่านแล้วและมันน่าสนใจจริงๆฉันเห็นด้วยอย่างยิ่งกับความคิดเห็นของคุณว่าความปลอดภัยเป็นกระบวนการไม่ใช่ผลิตภัณฑ์ขึ้นอยู่กับผู้ดูแลระบบว่าควรมีระบบที่มีความปลอดภัยสูงหากคุณปล่อยไว้ที่นั่นโดยไม่ อัปเดตและไม่เปลี่ยนข้อมูลรับรองเริ่มต้นหรือไม่?
ฉันใช้โอกาสนี้ถามคำถามคุณหากคุณไม่สนใจฉันหวังว่าคุณจะไม่สนใจที่จะตอบ
ดูสิฉันรู้สึกตื่นเต้นมากเกี่ยวกับหัวข้อความปลอดภัยนี้และฉันต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยใน GNU / Linux, SSH และ GNU / Linux โดยทั่วไปถ้าไม่ได้รบกวนคุณช่วยแนะนำฉันได้ไหม เริ่มกับ? PDF "ดัชนี" อะไรก็ได้ที่เป็นแนวทางสำหรับมือใหม่จะช่วยได้
ทักทายและขอบคุณล่วงหน้า!
Operation Windigo ... จนกระทั่งเมื่อไม่นานมานี้ฉันตระหนักถึงสถานการณ์นี้เราทุกคนรู้ดีว่าความปลอดภัยใน GNU / Linux เป็นมากกว่าความรับผิดชอบทั้งหมดของผู้ดูแลระบบ ดีฉันยังไม่เข้าใจว่าระบบของฉันถูกบุกรุกได้อย่างไรนั่นคือ "ระบบติดไวรัส" หากฉันไม่ได้ติดตั้งสิ่งใดในระบบที่ไม่ได้มาจากการสนับสนุนโดยตรงและจริงๆแล้วหากเป็นเวลาหนึ่งสัปดาห์ที่ฉันได้ติดตั้ง Linux Mint และมีเพียงฉันเท่านั้นที่ติดตั้ง lm-sensors, Gparted และเครื่องมือโหมดแล็ปท็อปดังนั้นฉันจึงดูแปลกที่ระบบติดไวรัสตอนนี้ฉันต้องลบออกทั้งหมดและติดตั้งใหม่ ตอนนี้ฉันมีคำถามใหญ่เกี่ยวกับวิธีการป้องกันระบบตั้งแต่มันติดเชื้อและฉันไม่รู้ด้วยซ้ำว่าฮาฮา ... ขอบคุณ
ขอบคุณสำหรับข้อมูล.
เป็นสิ่งสำคัญเสมอที่จะต้องมีกลไกการรักษาความปลอดภัยเช่นกลไกที่ระบุไว้ในบทความและอื่น ๆ ในการดูแลครอบครัว แต่ถ้าคุณต้องการดูตัวเลือกทั้งหมดที่มีให้โดยตลาดในเรื่องนี้ฉันขอเชิญคุณเยี่ยมชม http://www.portaldeseguridad.es/