Hai tài khoản root, phải làm sao?

19

Tôi đang dùng Ubuntu 15.04 và hôm nay tôi đã đọc một bài viết về bảo mật Linux từ liên kết này .

Mọi thứ đều ổn cho đến khi một phần của Tài khoản UID 0

Chỉ root mới có UID 0. Một tài khoản khác với UID đó thường đồng nghĩa với backdoor.

Khi chạy lệnh họ đưa cho tôi, tôi phát hiện ra có một tài khoản root khác. Ngay sau đó tôi đã vô hiệu hóa tài khoản như bài viết, nhưng tôi sợ tài khoản này, tôi có thể tìm thấy anh ấy trên/etc/passwd

rootk:x:0:500::/:/bin/false

Và trong /etc/shadow

rootk:!$6$loVamV9N$TorjQ2i4UATqZs0WUneMGRCDFGgrRA8OoJqoO3CCLzbeQm5eLx.VaJHeVXUgAV7E5hgvDTM4BAe7XonW6xmup1:16795:0:99999:7::1:

Tôi đã cố gắng xóa tài khoản này bằng cách sử dụng userdel rootknhưng gặp lỗi này;

userdel: user rootk is currently used by process 1

Quá trình 1 là systemd. Bất cứ ai có thể cho tôi một lời khuyên xin vui lòng? Tôi có nên userdel -f? Tài khoản này có phải là tài khoản root bình thường không?

ubuntu  security  root 
Lulzsec
nguồn
5
Tôi hoàn toàn nghi ngờ lỗi này đơn giản là vì chúng có cùng UID (0). Tôi vừa thực hiện một thử nghiệm bằng cách tạo người dùng thứ hai với UID hiện có và nó được báo cáo là người dùng đầu tiên /etc/passwd. Tôi cũng nghi ngờ rằng việc xóa tài khoản đó có thể có bất kỳ tác động nào đến máy vì các tệp và quy trình đề cập đến UID chứ không phải tên người dùng. Nó sẽ được khuyến khích (mặc dù rất có thể không cần thiết ) để có một đĩa khôi phục tiện dụng nhưng tôi sẽ gỡ bỏ nó và khởi động lại máy mà không phải lo lắng.
Julie Pelletier
2
Rootk bị xóa khỏi /etc/passwd& /etc/shadow; được khởi động lại và mọi thứ đều tốt, root đang là người duy nhất được hiển thị là người dùng root Cảm ơn sự giúp đỡ của bạn!
Lulzsec
3
Dù thế nào đi nữa, hãy thử chạy một số trình phát hiện root-kit, vì bạn có thể đã bị nhiễm bởi một. rootklà cái tên quá đáng ngờ và việc có một mật khẩu không bị vô hiệu hóa còn tệ hơn là một triệu chứng của việc bị đánh bại bởi một con ngựa trojan. Nhân tiện, đừng xóa mục nhập, chỉ cần chèn một số chữ cái vào trường mật khẩu để vô hiệu hóa nó, vì nó sẽ cung cấp cho bạn manh mối để biết bạn đã bị nhiễm như thế nào.
Luis Colorado
1
@DarkHeart, Không, tôi không sợ ... nhưng có một rootktài khoản với mật khẩu được cho là hợp lệ (không bị vô hiệu hóa) là một triệu chứng mạnh mẽ của một số người dùng mạng khai thác hoặc sử dụng sai tài khoản root. Như chúng ta thường nói: "Đừng tin vào Đức Trinh Nữ, và đừng chạy ...". Nhân tiện, bạn có nghĩ tôi là một chàng trai mười sáu tuổi không có kinh nghiệm về unix / linux không? :(
Luis Colorado
2
Có thể muốn kiểm tra nếu /bin/falselà tập tin chính hãng bằng cách chạy sudo dpkg -V coreutils. Nếu nó bị thay đổi, vui lòng xem xét cài đặt lại mọi thứ. Ubuntu 15.04 đã được EOL được 6 tháng, do đó, mọi lỗ hổng bảo mật hiện tại và tương lai sẽ không được sửa chữa, vì vậy bạn có thể muốn cài đặt phiên bản mới hơn, chẳng hạn như 16.04.
Đánh dấu Plotnick

Câu trả lời:

27

Các quy trình và tệp thực sự được sở hữu bởi số ID người dùng, không phải tên người dùng. rootkrootcó cùng UID, vì vậy mọi thứ thuộc sở hữu của người này cũng thuộc sở hữu của người kia. Dựa trên mô tả của bạn, có vẻ như userdelmọi quy trình gốc (UID 0) là thuộc về rootkngười dùng.

Theo trang người đàn ông này , userdelcó một tùy chọn -fđể buộc xóa tài khoản ngay cả khi nó có các quy trình hoạt động. Và userdelcó lẽ chỉ cần xóa rootkthư mục và thư mục nhà của passwd, mà không ảnh hưởng đến tài khoản root thực sự.

Để an toàn hơn, tôi có thể có xu hướng chỉnh sửa tập tin mật khẩu để xóa mục nhập rootk, sau đó xóa tay rootkthư mục chính của chúng. Bạn có thể có một lệnh trên hệ thống của bạn được đặt tên vipw, cho phép bạn chỉnh sửa một cách an toàn /etc/passwdtrong trình soạn thảo văn bản.

La Mã
nguồn
Cảm ơn bạn đã trả lời! Tôi cảm thấy vua nhẹ nhõm, tôi nghĩ đó là một cửa hậu xấu! Tôi đã làm như bạn nói, tôi đã xóa mục nhập cho rootk trong / etc / passwd. Nhưng không có rootkthư mục nhà của
Lulzsec
26
@Lulzsec: Điều này không có cách nào cho chúng tôi biết nếu rootktài khoản được tạo như một cửa hậu. Nó chỉ có nghĩa là nó có thể được gỡ bỏ dễ dàng.
Julie Pelletier
2
Tôi nghĩ bạn chưa giải quyết được hoàn toàn vấn đề. Kiểm tra ý kiến ​​của tôi về câu hỏi của bạn, xin vui lòng.
Luis Colorado
6
Cẩn thận không chạy userdel -r, vì rõ ràng thư mục chính của rootk là/
Jeff Schaller
@JeffSchaller Nhưng nếu bạn làm thế, bạn cũng đã giải quyết vấn đề, theo một cách nào đó. Một người dùng độc hại không thể nhìn thấy bất kỳ tập tin!
kirkpatt
23

Điều đó thực sự trông giống như một cửa hậu.

Tôi sẽ xem xét hệ thống bị xâm phạm và loại bỏ nó khỏi quỹ đạo, ngay cả khi có thể xóa người dùng mà bạn không biết những bất ngờ thú vị nào còn lại trên máy (ví dụ: keylogger để lấy mật khẩu của người dùng cho các trang web khác nhau).

Simon Richter
nguồn
4
đặt nó trong lò vi sóng và mua một cái mới.
Aaron McMillin
2
Điều gì làm cho nó trông giống như một cửa hậu? Có phù hợp với bất kỳ hồ sơ đã biết, rootkit, vv?
Freiheit
5
@Freiheit Vâng, một người dùng bổ sung có quyền root gần như là định nghĩa của rootkit / backdoor. Khi ai đó đã đăng nhập với tư cách là người dùng đó, họ có thể thỏa hiệp khá nhiều thứ trên hệ thống. Ngay cả khi tài khoản được tạo ra cho mục đích vô tội nào đó
IMSoP
1
@kasperd: Mật khẩu không bị vô hiệu hóa /etc/shadow. Đặt shell thành /bin/false(nếu chưa bị giả mạo) có thể vô hiệu hóa đăng nhập tương tác, nhưng sẽ không ngăn tài khoản được sử dụng theo những cách khác. Ví dụ, sudo -ssẽ xem xét SHELLbiến môi trường, không /etc/passwd, để xác định shell nào sẽ chạy.
Ben Voigt
1
@kasperd: À, ok. Có thể đó là một cách để có được các tác vụ được thực hiện định kỳ như root từ một crontab ẩn (mặc dù sự lựa chọn /là thư mục chính có vẻ không phù hợp với điều đó)?
Ben Voigt
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.