Dwa konta root, co robić?

19

Korzystam z Ubuntu 15.04 i dziś czytam artykuł o bezpieczeństwie Linuksa z tego linku.

Wszystko szło dobrze, dopóki część konta UID 0

Tylko root powinien mieć UID 0. Inne konto z tym UID jest często synonimem backdoora.

Podczas wykonywania polecenia, które mi dali, dowiedziałem się, że istnieje inne konto root. Zaraz potem wyłączyłem konto jak w artykule, ale boję się tego konta, mogę go znaleźć/etc/passwd

rootk:x:0:500::/:/bin/false

I w /etc/shadow

rootk:!$6$loVamV9N$TorjQ2i4UATqZs0WUneMGRCDFGgrRA8OoJqoO3CCLzbeQm5eLx.VaJHeVXUgAV7E5hgvDTM4BAe7XonW6xmup1:16795:0:99999:7::1:

Próbowałem usunąć to konto, userdel rootkale dostałem ten błąd;

userdel: user rootk is currently used by process 1

Proces 1 jest usystematyzowany. Czy ktoś mógłby mi udzielić porady? Miałbym userdel -f? Czy to konto jest normalnym kontem głównym?

Lulzsec
źródło
5
Podejrzewam, że ten błąd jest po prostu dlatego, że mają ten sam UID (0). Właśnie wykonałem test, tworząc drugiego użytkownika z istniejącym identyfikatorem UID i zgłoszono go jako pierwszy w /etc/passwd. Wątpię również, aby usunięcie tego konta mogło mieć jakikolwiek wpływ na maszynę, ponieważ pliki i procesy odnoszą się do UID, a nie nazwy użytkownika. Wskazane byłoby (choć najprawdopodobniej nie jest to wymagane ) mieć pod ręką dysk odzyskiwania, ale usunę go i uruchomię ponownie komputer bez obaw.
Julie Pelletier,
2
Usunięto rootka z /etc/passwd& /etc/shadow; zrestartowałem się i wszystko jest teraz w porządku, root jest jedyną osobą pokazaną jako użytkownik root Dziękujemy za pomoc!
Lulzsec,
3
W obu przypadkach spróbuj uruchomić wykrywacz rootkitów, ponieważ prawdopodobnie mógł zostać zainfekowany przez jeden. rootkjest zbyt podejrzaną nazwą, a posiadanie nieprzerwanego hasła jest gorszym objawem porażki konia trojańskiego. Nawiasem mówiąc, nie usuwaj wpisu, po prostu wstaw literę w polu hasła, aby ją wyłączyć, ponieważ da ci wskazówki, jak się zarazić.
Luis Colorado,
1
@DarkHeart, Nie, obawiam się, że nie ... ale posiadanie rootkkonta z domniemanym prawidłowym hasłem (nie wyłączone) jest silnym objawem pewnego wykorzystania sieci lub niewłaściwego użycia konta root przez lokalnego użytkownika. Jak mawiamy: „Ufaj Świętej Dziewicy i nie biegnij ...”. Nawiasem mówiąc, czy myślisz, że jestem szesnastoletnim facetem bez doświadczenia w unix / linux? :(
Luis Colorado,
2
Może chcesz sprawdzić, czy /bin/falseoryginalny plik jest uruchomiony sudo dpkg -V coreutils. Jeśli zostało to zmienione, rozważ ponowną instalację wszystkiego. Ubuntu 15.04 jest EOL od 6 miesięcy, więc wszelkie istniejące i przyszłe luki w zabezpieczeniach nie zostaną naprawione, więc możesz chcieć zainstalować nowszą wersję, taką jak 16.04.
Mark Plotnick,

Odpowiedzi:

27

Procesy i pliki są w rzeczywistości własnością numerów identyfikacyjnych użytkowników, a nie nazw użytkowników. rootki rootmają ten sam identyfikator UID, więc wszystko, co należy do jednego, jest również własnością drugiego. Na podstawie Twojego opisu wygląda na to, że userdelwidziałem każdy proces root (UID 0) jako należący rootkużytkownik.

Według tej strony człowieka , userdelma opcję -f, aby wymusić usunięcie konta, nawet jeśli ma aktywne procesy. I userdelprawdopodobnie po prostu usunę rootkwpis passwd i katalog domowy, bez wpływu na faktyczne konto root.

Dla bezpieczeństwa mogę skłonić się do ręcznej edycji pliku haseł w celu usunięcia wpisu rootk, a następnie do ręcznego usunięcia rootkkatalogu domowego. Możesz mieć w systemie komendę o nazwie vipw, która pozwala bezpiecznie edytować /etc/passwdw edytorze tekstu.

Rahul
źródło
Dziękuję odpowiadając! Czuję się królem ulgi, myślałem, że to jakiś zły backdoor! Zrobiłem tak, jak powiedziałeś, usunąłem wpis rootk w / etc / passwd. Ale nie było rootkkatalogu domowego
Lulzsec
26
@Lulzsec: To w żaden sposób nie mówi nam, czy rootkkonto zostało utworzone jako backdoor. Oznacza to po prostu, że można go łatwo usunąć.
Julie Pelletier,
2
Myślę, że nie rozwiązałeś całkowicie problemu. Proszę sprawdzić moje komentarze do twojego pytania.
Luis Colorado,
6
Uważaj, aby nie uruchomić userdel -r, ponieważ katalogiem domowym rootka jest/
Jeff Schaller
@JeffSchaller Ale jeśli tak, rozwiązałeś problem w pewien sposób. Złośliwy użytkownik nie widział żadnych plików!
kirkpatt
23

To rzeczywiście wygląda jak backdoor.

Uważam, że system jest przejęty i nuke go z orbity, nawet jeśli możliwe jest usunięcie użytkownika, nie masz pojęcia, jakie ciekawe niespodzianki pozostały na komputerze (np. Keylogger, aby uzyskać hasła użytkowników do różnych stron internetowych).

Simon Richter
źródło
4
włóż do kuchenki mikrofalowej i kup nową.
Aaron McMillin,
2
Co sprawia, że ​​wygląda to na backdoor? Czy pasuje do jakichś znanych profili, rootkitów itp.?
Freiheit,
5
@ Freiheit Cóż, dodatkowy użytkownik z uprawnieniami roota jest w zasadzie definicją rootkita / backdoora. Gdy ktoś był zalogowany jako ten użytkownik, mógł praktycznie skompromitować wszystko w systemie. Nawet jeśli konto zostało utworzone w jakimś niewinnym celu (czy nie mam pojęcia, co by to było), ktoś inny mógł je odkryć i wykorzystywać w sposób złośliwy (czytaj na przykład w systemie Sony DRM, który zrootował system Windows).
IMSoP
1
@kasperd: Hasło nie jest wyłączone, jest włączone /etc/shadow. Ustawienie powłoki na /bin/false(jeśli nie zostało to zmienione) może wyłączyć interaktywne logowanie, ale nie uniemożliwi korzystania z konta w inny sposób. Na przykład, sudo -sspojrzy na SHELLzmienną środowiskową, a nie /etc/passwdw celu ustalenia, którą powłokę uruchomić.
Ben Voigt,
1
@kasperd: Ah, ok. Czy może to być sposób na okresowe wykonywanie zadań jako root z ukrytego crontab (chociaż wybór /katalogu domowego wydaje się być z tym niezgodny)?
Ben Voigt,