Due account di root, cosa fare?

Sono su Ubuntu 15.04 e oggi ho letto un articolo sulla sicurezza di Linux da questo link.

Tutto è andato bene fino alla parte dell'account UID 0

Solo root dovrebbe avere l'UID 0. Un altro account con quell'UID è spesso sinonimo di backdoor.

Durante l'esecuzione del comando che mi hanno dato, ho scoperto che esisteva un altro account di root. Subito dopo ho disabilitato l'account come fa l'articolo, ma ho un po 'paura di questo account, posso trovarlo su/etc/passwd

rootk:x:0:500::/:/bin/false

E dentro /etc/shadow

rootk:!$6$loVamV9N$TorjQ2i4UATqZs0WUneMGRCDFGgrRA8OoJqoO3CCLzbeQm5eLx.VaJHeVXUgAV7E5hgvDTM4BAe7XonW6xmup1:16795:0:99999:7::1:

Ho provato a eliminare questo account utilizzando userdel rootkma ho riscontrato questo errore;

userdel: user rootk is currently used by process 1

Il processo 1 è systemd. Qualcuno potrebbe darmi qualche consiglio per favore? Dovrei userdel -f? Questo account è un normale account root?

ubuntu security root

— Lulzsec
fonte

Sospetto fortemente che questo errore sia dovuto semplicemente al fatto che hanno lo stesso UID (0). Ho appena fatto un test creando un secondo utente con un UID esistente ed è stato segnalato come il primo in /etc/passwd. Dubito inoltre che la rimozione di tale account possa avere alcun impatto sulla macchina poiché i file e i processi si riferiscono all'UID e non al nome utente. Sarebbe consigliabile (anche se molto probabilmente non necessario ) avere un disco di ripristino a portata di mano, ma lo rimuoverei e riavvierei la macchina senza alcuna preoccupazione.

— Julie Pelletier,

Rootk rimosso da /etc/passwd& /etc/shadow; riavviato e ora tutto va bene, root è l'unico mostrato come utente root Grazie per il tuo aiuto!

— Lulzsec,

In entrambi i casi, prova a eseguire un rilevatore di kit di root, poiché probabilmente potresti essere stato infettato da uno. rootkè un nome troppo sospetto e avere una password non disabilitata è peggio sintomo di essere stato sconfitto da un cavallo di Troia. A proposito, non rimuovere la voce, basta inserire una lettera nel campo della password per disabilitarla, in quanto ti darà indizi per sapere come sei stato infettato.

— Luis Colorado,

@DarkHeart, No, temo di no ... ma avere un rootkaccount con una presunta password valida (non disabilitata) è un sintomo forte di qualche sfruttamento della rete o uso improprio dell'account root da parte dell'utente locale. Come diciamo spesso: "Abbi fiducia nella Santa Vergine e non correre ...". A proposito, pensi che io sia un ragazzo di sedici anni senza esperienza in unix / linux? :(

— Luis Colorado,

Potrebbe voler verificare se /bin/falseè il file originale eseguendo sudo dpkg -V coreutils. Se è stato modificato, ti preghiamo di considerare di reinstallare tutto. Ubuntu 15.04 è stato EOL per 6 mesi, quindi eventuali buchi di sicurezza esistenti e futuri non verranno risolti, quindi potresti voler installare una versione più recente come 16.04.

— Mark Plotnick,

Risposte:

Processi e file sono in realtà di proprietà di numeri ID utente, non nomi utente. rootke roothanno lo stesso UID, quindi tutto ciò che appartiene a uno è anche di proprietà dell'altro. Sulla base della tua descrizione, sembra che abbia userdelvisto ogni processo di root (UID 0) come rootkutente appartenente .

Secondo questa pagina man , userdelha un'opzione -fper forzare la rimozione dell'account anche se ha processi attivi. E userdelprobabilmente eliminerebbe semplicemente rootkla voce passwd e la directory home, senza influire sull'account root effettivo.

Per essere più sicuro, potrei essere propenso a modificare manualmente il file della password per rimuovere la voce per rootk, quindi a rimuovere rootkla home directory. Potresti avere un comando sul tuo sistema chiamato vipw, che ti consente di modificare /etc/passwdin modo sicuro in un editor di testo.

— Rahul
fonte

Grazie rispondendo! Mi sento re di sollievo, ho pensato che fosse un duro backdoor! Ho fatto come hai detto, ho rimosso la voce per rootk in / etc / passwd. Ma non c'era rootkla home directory

— Lulzsec,

@Lulzsec: questo non ci dice in alcun modo se l' rootkaccount è stato creato come backdoor. Significa solo che può essere rimosso facilmente.

— Julie Pelletier,

Penso che non hai risolto completamente il problema. Controlla i miei commenti sulla tua domanda, per favore.

— Luis Colorado,

Fai attenzione a non eseguire userdel -r, poiché a quanto pare la home directory di rootk è/

— Jeff Schaller

@JeffSchaller Ma se lo fai, hai anche risolto il problema, in un certo senso. Un utente malintenzionato non ha potuto vedere alcun file!

— Kirkpatt,

Sembra davvero una backdoor.

Vorrei considerare il sistema compromesso e scartarlo dall'orbita, anche se è possibile rimuovere l'utente, non hai idea di quali sorprese interessanti siano rimaste sulla macchina (ad esempio un keylogger per ottenere le password degli utenti per vari siti Web).

— Simon Richter
fonte

mettilo nel microonde e acquistane uno nuovo.

— Aaron McMillin,

Cosa lo fa sembrare una backdoor? Corrisponde a profili noti, rootkit, ecc.?

— Freiheit,

@Freiheit Bene, un utente aggiuntivo con permessi di root è praticamente la definizione di rootkit / backdoor. Una volta che qualcuno ha effettuato l'accesso come quell'utente, potevano praticamente compromettere qualsiasi cosa sul sistema. Anche se l'account fosse stato creato per uno scopo innocente (e non ho idea di cosa sarebbe stato), qualcun altro avrebbe potuto scoprirlo e usarlo maliziosamente (leggi sul DRM di Sony che ha rootkato Windows per esempio).

— IMSoP

@kasperd: la password non è disabilitata, è dentro /etc/shadow. L'impostazione della shell su /bin/false(se non è stata manomessa) può disabilitare l'accesso interattivo, ma non impedisce l'utilizzo dell'account in altri modi. Ad esempio, sudo -sesamineremo la SHELLvariabile di ambiente, non /etc/passwdper determinare quale shell eseguire.

— Ben Voigt,

@kasperd: Ah, ok. Potrebbe essere un modo per ottenere le attività eseguite periodicamente come root da un crontab nascosto (anche se la scelta di /come home directory sembra incoerente con quella)?

— Ben Voigt,