从网站复制和粘贴Linux命令有什么风险？如何隐藏一些命令？ [重复]

sudo apt-get install package_name.deb

sudo apt-get install package_name.deb && apt-get install suspicious_file.deb 

sudo add-apt-repository ppa:some/ppa
sudo apt-get update

deb http://ppa.launchpad.net/some-ppa/

deb http://ppa.launchpad.net/a_suspicious_some-ppa/

#1 楼

网站可以附加到剪贴板上

风险就是您所说的那样。绝对有可能将恶意命令附加到剪贴板。

您甚至可以附加&& rm -rf /*（仅在第一个命令成功时执行）或; rm -rf /*（即使第一个命令不成功也执行）并附加某些UEFI设备。

您还应该在此主题中查看Michael的帖子，以获得另一个示例。

最后，这实际上取决于特定邪恶的“黑客”的创造力和恶意程度。


但是如何使命令“不可见”在终端中？“



方法一

echo test;echo insert evil here;clear;echo installing package

执行顺序：


回声“测试”发生了
回声“在这里插入邪恶”发生了
动作被“清除”了
意图的动作在这里发生了，但是您看不到其余的内容。
/>
...

您可以尝试在终端窗口中向上滚动以查找其余部分。


方法二
/>

stty -echo 
tput smcup

这将使终端无法显示您输入的内容，因此它根本不会出现在终端窗口中。

您可以这样尝试：

stty -echo;tput smcup;echo evil commands
expected command

这只是两个非常粗糙的示例，但显示了可以对命令进行混淆的潜力。除非隐藏的命令专门删除/修改，否则它可能不会从〜/ .bash_history隐藏。 y它的内容。

您应该假定还有其他方法。


缓解措施

我建议使用附加组件禁用剪贴板操作。不幸的是，有很多方法可以解决这个问题，所以我建议在将它粘贴到终端或任何地方之前，将所有内容粘贴到GUI文本编辑器中。

您需要验证自己在做什么。如果您不理解每个单独的命令，则应使用Google进行搜索。这是适当的锡纸，因为复制和粘贴会强制命令在许多Linux风格上自动执行。


修复Linux安装

您可能没有不知道兔子洞有多深。除非您有时间和精力投入其中，否则除非您有重要文件，否则我建议您只是从轨道上挪一下。如果您有重要文件，只需备份不可执行的内容（没有pdf，文档等），然后从轨道上核取。

如果有PDF，则可以将PDF转换为后脚本，或将内容复制并粘贴到文本文件中。对于文档，请复制并粘贴文本，然后再设置格式。

#2 楼

有风险。网站可以使用CSS和JavaScript隐藏内容，然后从该网站复制内容时，实际上就是复制了他们想要的内容。 @Gumbo提供了示例：https://thejh.net/misc/website-terminal-copy-paste。

解决方法：不要从您不信任的网站复制和粘贴。或访问他们。

#3 楼

是的，从不受信任的网站剪切和粘贴命令可能很危险。您粘贴的文本将始终包含您复制的文本，但是在此之前，之间或之后可以有更多文本。

在网页上，此操作由CSS完成。只是使多余的文本不可见。仍将被复制。

将其粘贴到终端中时，将显示多余的文本。但是，如果包含换行符，它将立即执行并造成损害。此外，它可以包含清除多余文本的命令。

为避免危险，请将文本粘贴到文本编辑器中。看看然后将其从编辑器复制到终端。

...只需确保对命令的了解足够，以至于它是安全的。粘贴未知命令的另一个危险是您可能根本不了解自己在做什么。

#4 楼

除了上述出色的答案之外，我还要补充一点，除了恶意目的之外，由于字符编码，从网站或PDF复制和粘贴也存在问题。

您可能会认为您正在粘贴一组字符，并且由于字符编码，粘贴不同的东西，并且遇到难以跟踪的问题。

syslog无法启动

从线程开始，OP认为他已粘贴：

file("/var/log/cisco/cisco.log");

但实际上，他粘贴了以下内容：

file(▒~@~\/var/log/cisco/cisco.log▒~@~]);