Долгое время считалось, что программы-вымогатели редко поражают машины под управлением Linux и даже FreeBSD в этом отношении. К сожалению, программа-вымогатель KillDisk теперь атаковала несколько машин под управлением Linux, и похоже, что даже дистрибутивы, которые хешируют учетную запись root, такие как Ubuntu и ее различные официальные спины, могут быть уязвимы. Некоторые компьютерные ученые выразили мнение, что многие угрозы безопасности, которые повлияли на Ubuntu, каким-то образом скомпрометировали некоторые аспекты интерфейса рабочего стола Unity, но эта угроза может нанести вред даже тем, кто использует KDE, Xfce4, Openbox или даже полностью виртуальный консольный сервер Ubuntu.
Естественно, что для борьбы с этим типом угроз применяются правила здравого смысла. Не открывайте подозрительные ссылки в браузере и обязательно выполняйте сканирование на наличие вредоносных программ файлов, загруженных из Интернета, а также файлов из вложений электронной почты. Это особенно верно для любого загруженного исполняемого кода, хотя программы, поступающие из официальных репозиториев, получают цифровую подпись, чтобы уменьшить эту угрозу. Вы всегда должны использовать текстовый редактор для чтения содержимого любого скрипта перед его запуском. Помимо всего прочего, вы можете предпринять несколько конкретных шагов, чтобы защитить свою систему от формы KillDIsk, атакующей Ubuntu.
Метод 1: хеширование корневой учетной записи
Разработчики Ubuntu приняли сознательное решение хэшировать учетную запись root, и, хотя это не оказалось полностью способным остановить этот тип атак, это одна из основных причин, по которой он медленно наносит вред системам. Можно восстановить доступ к учетной записи root, что является обычным явлением для тех, кто использует свои машины в качестве серверов, но это имеет серьезные последствия с точки зрения безопасности.
Некоторые пользователи могли ввести sudo passwd, а затем дать учетной записи root пароль, который они действительно могли использовать для входа как с графической, так и с виртуальной консоли. Чтобы немедленно отключить эту функцию, используйте sudo passwd -l root, чтобы исключить вход в систему root и вернуть Ubuntu или спин, который вы используете, туда, где он был изначально. Когда вас попросят ввести пароль, вам нужно будет ввести пароль пользователя, а не тот специальный пароль, который вы указали для учетной записи root, при условии, что вы работали под учетной записью пользователя.
Естественно, лучший метод - это никогда не использовать sudo passwd с самого начала. Более безопасный способ решить эту проблему - использовать sudo bash для получения учетной записи root. Вам будет предложено ввести пароль, который снова будет вашим паролем пользователя, а не паролем root, при условии, что у вас есть только одна учетная запись на вашем компьютере с Ubuntu. Имейте в виду, что вы также можете получить приглашение root для других оболочек, используя sudo, за которым следует имя указанной оболочки. Например, sudo tclsh создает корневую оболочку на основе простого интерпретатора Tcl.
Обязательно наберите exit, чтобы выйти из оболочки после того, как вы закончите свои задачи администрирования, потому что оболочка пользователя root может удалить любой файл в системе независимо от владельца. Если вы используете оболочку, например tclsh, и ваше приглашение представляет собой просто знак%, попробуйте whoami в качестве команды в приглашении. Он должен точно сказать вам, под каким именем вы вошли.
Вы всегда можете использовать sudo rbash, чтобы получить доступ к оболочке с ограниченным доступом, которая не имеет такого количества функций и, следовательно, дает меньше шансов нанести ущерб. Имейте в виду, что они одинаково хорошо работают в графическом терминале, который вы открываете в среде рабочего стола, в полноэкранной графической среде терминала или на одной из шести виртуальных консолей, которые Linux предоставляет вам. Система не может различать эти различные параметры, а это означает, что вы сможете вносить эти изменения из стандартной Ubuntu, любой из спинов, таких как Lubuntu или Kubuntu, или установки Ubuntu Server без каких-либо графических пакетов рабочего стола.
Метод 2: проверьте, есть ли у корневой учетной записи неиспользуемый пароль
Запустите sudo passwd -S root, чтобы проверить, есть ли у учетной записи root непригодный для использования пароль в любое время. Если это так, то он будет читать root L в возвращенном выводе, а также некоторую информацию о дате и времени, когда пароль root был закрыт. Обычно это соответствует тому моменту, когда вы установили Ubuntu, и на это можно спокойно не обращать внимания. Если вместо этого он читает root P, значит, у учетной записи root есть действующий пароль, и вам необходимо заблокировать его, выполнив шаги из метода 1.
Если вывод этой программы читает NP, вам еще более настоятельно необходимо запустить sudo passwd -l root, чтобы исправить проблему, поскольку это указывает на то, что пароль root отсутствует вообще, и любой, включая скрипт, может получить корневую оболочку с виртуальной консоли.
Метод 3: выявление взломанной системы из GRUB
Это пугающая часть и причина того, что вам всегда нужно делать резервные копии ваших самых важных файлов. Когда вы загружаете меню GNU GRUB, обычно нажимая Esc при загрузке системы, вы должны увидеть несколько различных вариантов загрузки. Однако, если вы видите сообщение с указанием места их расположения, возможно, вы смотрите на взломанный компьютер.
Тестовые машины, скомпрометированные с помощью программы KillDisk, читают что-то вроде:
* Сожалеем, но шифрование
ваших данных было успешно завершено,
так что вы можете потерять свои данные или
В сообщении вам будет предложено отправить деньги на определенный адрес. Вам следует переформатировать эту машину и переустановить на ней Linux. Не отвечайте ни на какие угрозы KillDisk. Это не только помогает людям, использующим такие схемы, но и программа версии для Linux на самом деле не хранит ключ шифрования должным образом из-за ошибки. Это означает, что выхода нет, даже если вы уступите. Просто убедитесь, что у вас есть чистые резервные копии, и вам не придется беспокоиться о том, что вы находитесь в таком положении.
4 минуты на чтение
