I ganske lang tid har det blitt antatt at løsepenger sjelden påvirker maskiner som kjører Linux og til og med FreeBSD for den saks skyld. Dessverre har KillDisk ransomware nå angrepet en håndfull Linux-drevne maskiner, og det virker som om til og med distribusjoner som hash ut rotkontoen som Ubuntu og dens forskjellige offisielle spinn kan være sårbare. Enkelte dataforskere har uttrykt den oppfatningen at mange sikkerhetstrusler som påvirket Ubuntu på en eller annen måte kompromitterte noen aspekter av Unity desktop-grensesnittet, men denne trusselen kan skade selv de som bruker KDE, Xfce4, Openbox eller til og med den fullstendig virtuelle konsollbaserte Ubuntu Server.
Naturligvis gjelder de gode sunn fornuftene for å bekjempe denne typen trussel. Ikke få tilgang til mistenkelige lenker i en nettleser og sørg for å utføre en malware-skanning på filer som er lastet ned fra Internett, så vel som fra e-postvedlegg. Dette gjelder spesielt alle kjørbare koder du har lastet ned, selv om programmer som kommer fra de offisielle arkivene, mottar en digital signatur for å redusere denne trusselen. Du bør alltid sørge for å bruke et tekstredigeringsprogram til å lese innholdet i et hvilket som helst skript før du kjører det. På toppen av disse tingene er det noen spesifikke trinn du kan ta for å beskytte systemet ditt mot formen av KillDIsk som angriper Ubuntu.
Metode 1: Hash ut rotkontoen
Ubuntus utviklere tok en bevisst beslutning om å hashe ut rotkontoen, og selv om dette ikke har vist seg å være fullstendig i stand til å stoppe denne typen angrep, er det en av de viktigste grunnene til at det har vært sakte å skade systemer. Det er mulig å gjenopprette tilgangen til rotkontoen, som er vanlig for de som bruker maskinene sine som servere, men dette har alvorlige konsekvenser når det gjelder sikkerhet.
Noen brukere kan ha utstedt sudo passwd og deretter gitt rotkontoen et passord de faktisk kan bruke til å logge på fra både grafiske og virtuelle konsoller. For å umiddelbart deaktivere denne funksjonaliteten, bruk sudo passwd -l root for å eliminere rotinnloggingen og sett Ubuntu eller spinnet du bruker tilbake til der det var opprinnelig. Når du blir bedt om passordet ditt, må du faktisk oppgi brukerpassordet og ikke det spesielle passordet du ga til rotkontoen, forutsatt at du jobbet fra en brukerinnlogging.
Naturligvis innebærer den beste metoden aldri å ha brukt sudo passwd til å begynne med. En tryggere måte å håndtere problemet på er å bruke sudo bash for å få en rotkonto. Du blir bedt om passordet ditt, som igjen vil være din bruker og ikke root-passord, forutsatt at du bare har en brukerkonto på Ubuntu-maskinen din. Husk at du også kan få en rotmelding for andre skjell ved å bruke sudo etterfulgt av navnet på nevnte skall. For eksempel skaper sudo tclsh et rotskall basert på en enkel Tcl-tolk.
Sørg for å skrive exit for å komme deg ut av et skall når du er ferdig med administrasjonsoppgavene dine, fordi et rotbrukerskall kan slette alle filer på systemet uavhengig av eierskap. Hvis du bruker et skall som tclsh, og ledeteksten din bare er et% -tegn, så prøv whoami som en kommando ved ledeteksten. Den skal fortelle deg nøyaktig hvem du er logget på som.
Du kan alltid bruke sudo rbash også for å få tilgang til et begrenset skall som ikke har så mange funksjoner, og som derfor gir mindre sjanse til å forårsake skade. Husk at disse fungerer like bra fra en grafisk terminal du åpner i skrivebordsmiljøet ditt, et grafisk terminalmiljø i full skjerm eller en av de seks virtuelle konsollene som Linux gjør tilgjengelig for deg. Systemet kan ikke skille mellom disse forskjellige alternativene, noe som betyr at du vil kunne gjøre disse endringene fra standard Ubuntu, noen av spinnene som Lubuntu eller Kubuntu eller en installasjon av Ubuntu Server uten grafiske stasjonære pakker.
Metode 2: Sjekk om rotkontoen har et ubrukbart passord
Kjør sudo passwd -S root for å sjekke om rotkontoen til enhver tid har et ubrukelig passord. Hvis den gjør det, vil den lese rot L i den returnerte utgangen, samt litt informasjon om datoen og klokkeslettet rotpassordet ble stengt. Dette tilsvarer vanligvis når du installerte Ubuntu, og kan trygt ignoreres. Hvis den i stedet leser rot P, har rotkontoen et gyldig passord, og du må låse det ut med trinnene i metode 1.
Hvis utgangen av dette programmet leser NP, må du enda mer kjøre sudo passwd -l root for å fikse problemet, siden dette indikerer at det ikke er et root-passord i det hele tatt, og alle som inkluderer et skript, kan få et root shell fra en virtuell konsoll.
Metode 3: Identifisere et kompromittert system fra GRUB
Dette er den skumle delen, og grunnen til at du alltid trenger å ta sikkerhetskopier av de viktigste filene dine. Når du laster inn GNU GRUB-menyen, vanligvis ved å trykke på Esc når du starter systemet ditt, bør du se flere forskjellige oppstartsalternativer. Men hvis du ser en melding stavet hvor de ville være, kan du se på en kompromittert maskin.
Testmaskiner kompromittert med KillDisk-programmet leser noe sånt som:
* Vi beklager, men krypteringen
av dataene dine er fullført,
slik at du kan miste dataene dine eller
Meldingen fortsetter med instruksjoner om å sende penger til en bestemt adresse. Du bør formatere denne maskinen og installere Linux på nytt. Ikke svar på noen av KillDisks trusler. Ikke bare hjelper dette bare enkeltpersoner som kjører slike ordninger, men også Linux-versjonsprogrammet lagrer faktisk ikke krypteringsnøkkelen riktig på grunn av en feil. Dette betyr at det ikke er noen vei rundt det, selv om du skulle gi deg. Bare sørg for å ha rene sikkerhetskopier, og du trenger ikke å bekymre deg for å være en stilling som denne.
4 minutter lest
