Lo más probable es explotar una debilidad en una aplicación local, tal vez junto con un exloit del núcleo raíz. Iría algo como esto.
1) Hacker explota una debilidad en una aplicación PHP que les permite crear archivos de propiedad del servidor web y luego ejecutar ese código.
2) Su código malicioso descargaría un script que permite un acceso más fácil para ejecutar comandos. Descargar un script en perl a / dev / shm usando wget es bastante común.
3) El script perl se conectaría a un servidor remoto para formar un túnel, o podría aceptar conexiones entrantes, para que se puedan ejecutar comandos arbitrarios con mayor facilidad.
4) El código fuente de C para un exploit de raíz se instalará, compilará y ejecutará.
5) Si tiene éxito, el usuario ahora tendría privilegios de root. En este punto, el servidor de seguridad puede estar deshabilitado, la configuración predeterminada de iptables ha cambiado y las puertas traseras, como un ssh modificado, podrían instalarse para dar acceso a pesar de la configuración de hosts.allow y similares.
Esto solo roza la superficie, pero hay herramientas que pueden ayudar con la detección de intrusos y los pasos que podría tomar para fortalecer su configuración, como evitar conexiones salientes a IPs arbitrarias en el firewall (iptables en lugar del firewall externo de EC2). no tener un compilador de C en el lugar habitual o en absoluto, y mover herramientas como wget, aunque un script podría lograr lo mismo, por lo que es simplemente una molestia para el pirata informático. Mantener un registro de los procesos en ejecución con frecuencia (cada 5 minutos o menos) puede ayudar en el análisis post mortem al igual que los registros web. Es muy probable que un hacker cree archivos o directorios en / dev / shm o / tmp, y una utilidad que esté monitoreando entradas inesperadas podría detectar las intrusiones antes. Bloquear el servidor para permitir el acceso solo a ti mismo si se encuentran elementos inesperados, especialmente en / dev / shm (donde normalmente no habría nada) no sería excesivo.
La implementación de las actualizaciones del kernel se recomienda fuertemente , ya que ha habido muchos exploits de escalamiento de privilegios en Linux.