目录:
视频: 【黑客入门教学】51 权限提升 WEB UI会话劫持攻击 2025
这是一个好主意检查您的文件权限,以避免在Linux中被黑客攻击。如果你不小心,黑客可以利用这个优势。在Linux中,特殊文件类型允许程序以文件所有者的权限运行:
-
SetUID(用于用户ID)
-
SetGID(用于组ID)
当用户运行需要的程序时,SetUID和SetGID是必需的完全访问系统来执行其任务。例如,当用户调用passwd程序来更改他或她的密码时,该程序实际上是加载并运行的,没有root或任何其他用户的权限。
<! - 1 - >这样做是为了让用户可以运行程序,程序可以更新密码数据库,而不需要在进程中涉及到root帐户。
文件权限攻击Linux
默认情况下,以root权限运行的恶意程序可以轻松隐藏。外部攻击者或恶意内部人员可能会这样做,以隐藏系统上的黑客文件,例如rootkit。这可以通过在他们的黑客程序中使用SetUID和SetGID编码完成。
<! - 2 - >针对Linux文件权限攻击的对策
您可以使用手动和自动测试方法来测试流氓程序。
手动测试
以下命令可以识别并打印到SetUID和SetGID程序的屏幕上:
-
为SetUID配置的程序:
find / -perm -4000 -print
-
程序配置为SetGID:
<! find / -perm -2000 -print世界上任何人都可以读取的文件:
-
find / -perm -2 -type f -print
隐藏文件:
-
find / -name“。*”
你可能在这些类别中有数百个文件,所以不要惊慌。当您发现设置了这些属性的文件时,您需要通过在文档或Internet上进行研究或将其与已知的安全系统或数据备份进行比较,确保它们实际上应具有这些属性。注意您的系统以检测突然出现的任何新的SetUID或SetGID文件。
自动测试
您可以使用自动文件修改审计程序在发生这些类型的更改时提醒您。在持续的基础上更容易:
变化检测应用程序(如Tripwire)可以帮助您了解更改的内容和时间。
文件监视程序(如COPS)会查找状态已更改的文件(如新的SetUID或已删除的SetGID)。
