Два кореневі рахунки, що робити?

Я на Ubuntu 15.04, і сьогодні я читав статтю про безпеку Linux за цим посиланням.

Все пішло добре, поки частина UID 0 Account

Тільки root має мати UID 0. Інший обліковий запис із цим UID часто є синонімом backdoor.

Під час виконання команди, яку вони мені дали, я виявив, що є ще один кореневий рахунок. Після цього я вимкнув обліковий запис, як це робить стаття, але я цьогось боюсь цього акаунта, я можу знайти його/etc/passwd

rootk:x:0:500::/:/bin/false

І в /etc/shadow

rootk:!$6$loVamV9N$TorjQ2i4UATqZs0WUneMGRCDFGgrRA8OoJqoO3CCLzbeQm5eLx.VaJHeVXUgAV7E5hgvDTM4BAe7XonW6xmup1:16795:0:99999:7::1:

Я намагався видалити цей обліковий запис за допомогою, userdel rootkале отримав цю помилку;

userdel: user rootk is currently used by process 1

Процес 1 є системним. Чи може хтось дати мені поради, будь ласка? Чи повинен я userdel -f? Це звичайний кореневий рахунок?

ubuntu security root

— Лульцсек
джерело

Я дуже підозрюю, що ця помилка є просто тому, що вони мають однаковий UID (0). Я щойно зробив тест, створивши другого користувача з наявним UID, і він, як повідомляється, був першим в /etc/passwd. Я також сумніваюся, що видалення цього облікового запису може мати будь-який вплив на машину, оскільки файли та процеси стосуються UID, а не імені користувача. Було б доцільно (хоча, швидше за все, і не потрібно ), щоб диск для відновлення був під рукою, але я б його видалив і без будь-якого турботи перезапустив машину.

— Джулі Пелтьє

Видалено рут із /etc/passwd& /etc/shadow; перезавантажено, і все зараз добре, root є єдиним представленим як користувач root. Дякую за допомогу!

— Лульсек

У будь-якому випадку спробуйте запустити якийсь детектор root-kit, тому що, можливо, ви заразилися одним. rootkзанадто підозріле ім'я, а наявність недієвізованого пароля - гірший симптом того, що він був переможений троянським конем. До речі, не видаляйте цей запис, просто вставте в поле пароля якийсь лист, щоб відключити його, оскільки це дасть вам підказки, щоб дізнатися, як ви заразилися.

— Луїс Колорадо

@DarkHeart, Ні, я боюсь, що не ... але наявність rootkоблікового запису з передбачуваним дійсним паролем (не вимкнено) - сильний симптом деякого мережевого використання або неправильного використання кореневого облікового запису місцевим користувачем. Як ми звикли говорити: «Довіряй Богородиці, а не біжи ...». До речі, ти думаєш, я хлопець шістнадцяти років, який не має досвіду роботи в unix / linux? :(

— Луїс Колорадо

Можливо /bin/false, запустіть перевірку, чи справжній файл sudo dpkg -V coreutils. Якщо це було змінено, будь ласка, подумайте про перевстановлення всього. Ubuntu 15.04 був EOL протягом 6 місяців, тому будь-які існуючі та майбутні отвори в безпеці не виправляються, тому ви можете встановити новішу версію, таку як 16.04.

— Марк Плотнік

Відповіді:

Процесам і файлам фактично належать ідентифікаційні номери користувачів, а не імена користувачів. rootkі rootмають однаковий UID, тому все, що належить одному, також належить іншому. Виходячи з вашого опису, здається, що userdelбачив кожен кореневий процес (UID 0) як належний rootkкористувач.

Відповідно до цієї довідної сторінки , userdelє можливість -fпримусити видалити обліковий запис, навіть якщо в ньому є активні процеси. І userdel, ймовірно, просто видалить rootkзапис passwd і домашній каталог, не впливаючи на власний кореневий рахунок.

Щоб бути більш безпечним, я, можливо, схильний вручну відредагувати файл пароля, щоб видалити запис rootk, а потім видалити rootkдомашній каталог вручну . У вашій системі може бути команда з назвою vipw, яка дозволяє безпечно редагувати /etc/passwdв текстовому редакторі.

— Рахул
джерело

Дякую, відповідаючи! Я відчуваю себе королем полегшеного, я думав, що це якийсь поганий задній куточок! Як я вже сказав, я видалив запис для rootk в / etc / passwd. Але rootkдомашнього довідника не було

— Лульцсек

@Lulzsec: Це ні в якому разі не говорить про те, чи створено rootkобліковий запис як бекдор. Це просто означає, що його можна легко зняти.

— Джулі Пелтьє,

Я думаю, ви не повністю вирішили проблему. Перевірте, будь ласка, мої коментарі до вашого питання.

— Луїс Колорадо

Будьте обережні, щоб не запустити userdel -r, як, мабуть, домашній каталог rootk/

— Jeff Schaller

@JeffSchaller Але якщо це зробити, ви також вирішили проблему певним чином. Зловмисний користувач не міг бачити жодного файлу!

— kirkpatt

Це дійсно схоже на заднім кутом.

Я вважаю, що система поставлена під загрозу, і вивести її з орбіти, навіть якщо можливо видалити користувача, ви не знаєте, які цікаві сюрпризи залишилися на машині (наприклад, кейлоггер для отримання паролів користувачів для різних веб-сайтів).

— Саймон Ріхтер
джерело

покладіть її в мікрохвильову піч і придбайте нову.

— Аарон Мак-Міллін

Що робить це схожим на бекдор? Чи відповідає це відомим профілям, руткітам тощо?

— Freiheit

@Freiheit Ну, додатковий користувач з дозволом на root - це значною мірою визначення rootkit / backdoor. Після того, як хтось увійшов у систему як цей користувач, він міг значною мірою компрометувати що-небудь у системі. Навіть якби обліковий запис був створений з якоюсь невинною метою (а я не маю уявлення, що це було б), хтось інший міг би його виявити і зловмисно використати (читайте на Sony DRM, який використовував rootkit Windows).

— IMSoP

@kasperd: пароль не вимкнено, він увімкнено /etc/shadow. Встановлення оболонки /bin/false(якщо це не було підроблено) може вимкнути інтерактивний вхід, але не завадить використовувати обліковий запис іншими способами. Наприклад, sudo -sрозглянемо SHELLзмінну середовища, а не /etc/passwd, щоб визначити, яку оболонку потрібно запустити.

— Ben Voigt

@kasperd: Ага, добре. Чи може це бути способом періодично виконувати завдання як корінь із прихованого crontab (хоча вибір /домашнього каталогу здається невідповідним)?

— Ben Voigt