Hoe jezelf te beschermen tegen KillDisk Aanval op Ubuntu
Al geruime tijd wordt aangenomen dat ransomware zelden van invloed is op machines waarop Linux draait en zelfs op FreeBSD. Helaas heeft de KillDisk ransomware nu een handvol Linux-aangedreven machines aangevallen, en het lijkt erop dat zelfs distributies die hash uit het root-account zoals Ubuntu en de verschillende officiële spins kwetsbaar kunnen zijn. Bepaalde computerwetenschappers hebben de mening uitgesproken dat veel beveiligingsbedreigingen die Ubuntu beïnvloedden op de een of andere manier een of ander aspect van de Unity-desktopinterface in gevaar brachten, maar deze dreiging kan zelfs schade toebrengen aan degenen die KDE, Xfce4, Openbox of zelfs de volledig virtuele, op een console gebaseerde Ubuntu-server gebruiken.
Uiteraard zijn de goede regels van gezond verstand van toepassing op het bestrijden van dit soort bedreigingen. Krijg geen toegang tot verdachte links in een browser en zorg ervoor dat u een malwarescan uitvoert op bestanden die u van internet hebt gedownload en die van e-mailbijlagen. Dit geldt met name voor alle uitvoerbare code die u hebt gedownload, hoewel programma's die afkomstig zijn van de officiële repositories een digitale handtekening ontvangen om deze dreiging te verminderen. U moet altijd een teksteditor gebruiken om de inhoud van een script te lezen voordat u het uitvoert. Bovenop deze dingen zijn er een paar specifieke stappen die u kunt nemen om uw systeem te beschermen tegen de vorm van KillDIsk die Ubuntu aanvalt.
Methode 1: hash-out van de root-account
De ontwikkelaars van Ubuntu hebben er bewust voor gekozen om het root-account te hashen en hoewel dit nog niet helemaal in staat is gebleken om dit soort aanvallen te stoppen, is het een van de belangrijkste redenen dat systemen traag zijn beschadigd. Het is mogelijk om de toegang tot het root-account te herstellen, wat gebruikelijk is voor degenen die hun machines als servers gebruiken, maar dit heeft ernstige gevolgen als het gaat om beveiliging.
Sommige gebruikers hebben sudo passwd uitgegeven en hebben vervolgens het root-account een wachtwoord gegeven waarmee ze zich konden aanmelden bij zowel grafische als virtuele consoles. Gebruik de sudo passwd -l root om deze functionaliteit onmiddellijk uit te schakelen om de root login te verwijderen en Ubuntu of de spin die je gebruikt terug te zetten naar waar het oorspronkelijk was. Wanneer u om uw wachtwoord wordt gevraagd, moet u daadwerkelijk uw gebruikerswachtwoord invoeren en niet het speciale wachtwoord dat u aan het root-account hebt gegeven, ervan uitgaande dat u aan het werk was via een gebruikersaanmelding.
Natuurlijk, de beste methode houdt in dat je sudo passwd nooit hebt gebruikt om mee te beginnen. Een veiligere manier om het probleem op te lossen, is sudo bash gebruiken om een root-account te krijgen. U wordt om uw wachtwoord gevraagd, wat opnieuw uw gebruiker en geen rootwachtwoord zou zijn, ervan uitgaande dat u slechts één gebruikersaccount op uw Ubuntu-machine hebt. Houd in gedachten dat je ook een root-prompt voor andere shells kunt krijgen door sudo te gebruiken, gevolgd door de naam van de shell. Zo maakt sudo tclsh een rootshell gebaseerd op een eenvoudige Tcl-interpreter.
Zorg ervoor dat u exit typt om uit een shell te komen als u eenmaal klaar bent met uw beheertaken, omdat een rootgebruikersshell elk bestand op het systeem kan verwijderen, ongeacht het eigendom. Als je een shell zoals tclsh gebruikt en je prompt is gewoon een% -teken, probeer dan whoami als een commando op de prompt. Het zou u precies moeten vertellen naar wie u bent ingelogd.
PRO TIP: Als het probleem zich voordoet met uw computer of een laptop / notebook, kunt u proberen de Reimage Plus-software te gebruiken die de opslagplaatsen kan scannen en corrupte en ontbrekende bestanden kan vervangen. Dit werkt in de meeste gevallen, waar het probleem is ontstaan door een systeembeschadiging. U kunt Reimage Plus downloaden door hier te klikkenJe zou altijd sudo rbash ook kunnen gebruiken om toegang te krijgen tot een beperkte shell die niet zoveel functies heeft, en daarom minder kans biedt om schade aan te richten. Houd in gedachten dat deze net zo goed werken vanuit een grafische terminal die u opent in uw desktopomgeving, een grafische schermomgeving op volledig scherm of een van de zes virtuele consoles die Linux voor u beschikbaar stelt. Het systeem kan geen onderscheid maken tussen deze verschillende opties, wat betekent dat je deze wijzigingen kunt aanbrengen in standaard Ubuntu, een van de spins zoals Lubuntu of Kubuntu of een installatie van Ubuntu Server zonder grafische desktoppakketten.
Methode 2: Controleer of het root-account een onbruikbaar wachtwoord bevat
Voer sudo passwd -S root uit om te controleren of het root-account op enig moment een onbruikbaar wachtwoord heeft. Als dat het geval is, zal het root L in de geretourneerde uitvoer lezen, evenals enige informatie over de datum en tijd waarop het root-wachtwoord werd gesloten. Dit komt over het algemeen overeen met wanneer u Ubuntu hebt geïnstalleerd en kan veilig worden genegeerd. Als het in plaats daarvan root P leest, dan heeft het root-account een geldig wachtwoord en moet je het blokkeren met de stappen in Methode 1.
Als de uitvoer van dit programma NP leest, moet je sudo passwd -l root nog een keer uitvoeren om het probleem op te lossen, omdat dit aangeeft dat er helemaal geen rootwachtwoord bestaat en iedereen inclusief een script een rootshell kan krijgen van een virtuele console.
Methode 3: Identificatie van een onbetrouwbaar systeem van GRUB
Dit is het enge deel en de reden dat je altijd back-ups van je belangrijkste bestanden moet maken. Wanneer je het GNU GRUB-menu laadt, meestal door op Esc te drukken tijdens het booten van je systeem, zou je verschillende bootopties moeten zien. Als u echter een bericht ziet met de precieze betekenis van het probleem, kijkt u mogelijk naar een gecompromitteerd apparaat.
Testmachines die zijn gecompromitteerd met het KillDisk-programma, hebben iets gelezen als:
* Het spijt ons zo, maar de codering
van uw gegevens is succesvol afgerond,
zodat u uw gegevens kunt verliezen of
Het bericht gaat verder met de instructie om geld naar een specifiek adres te sturen. U moet deze machine opnieuw formatteren en Linux daarop opnieuw installeren. Antwoord niet op de dreigingen van KillDisk. Dit helpt niet alleen de individuen die dit soort schema's gebruiken, maar ook het Linux-versieprogramma slaat de coderingssleutel niet echt op vanwege een bug. Dit betekent dat er geen weg omheen is, zelfs als je zou toegeven. Zorg gewoon voor schone back-ups en je hoeft je geen zorgen te maken over een positie als deze.
PRO TIP: Als het probleem zich voordoet met uw computer of een laptop / notebook, kunt u proberen de Reimage Plus-software te gebruiken die de opslagplaatsen kan scannen en corrupte en ontbrekende bestanden kan vervangen. Dit werkt in de meeste gevallen, waar het probleem is ontstaan door een systeembeschadiging. U kunt Reimage Plus downloaden door hier te klikken