Два корневых аккаунта, что делать?

Я нахожусь на Ubuntu 15.04 и сегодня я читаю статью о безопасности Linux по этой ссылке.

Все прошло хорошо, пока часть счета UID 0

Только root должен иметь UID 0. Другая учетная запись с этим UID часто является синонимом бэкдора.

При выполнении команды, которую они дали мне, я обнаружил, что есть другая учетная запись root. Просто после этого я отключил аккаунт, как в статье, но я немного боюсь этого аккаунта, я могу найти его на/etc/passwd

rootk:x:0:500::/:/bin/false

И в /etc/shadow

rootk:!$6$loVamV9N$TorjQ2i4UATqZs0WUneMGRCDFGgrRA8OoJqoO3CCLzbeQm5eLx.VaJHeVXUgAV7E5hgvDTM4BAe7XonW6xmup1:16795:0:99999:7::1:

Я пытался удалить эту учетную запись, используя, userdel rootkно получил эту ошибку;

userdel: user rootk is currently used by process 1

Процесс 1 является системным. Может ли кто-нибудь дать мне совет, пожалуйста? Должен ли я userdel -f? Является ли эта учетная запись нормальной учетной записью root?

ubuntu security root

— Lulzsec
источник

Я сильно подозреваю, что эта ошибка просто потому, что они имеют одинаковый UID (0). Я только что проверил, создав второго пользователя с существующим UID, и он был зарегистрирован как первый /etc/passwd. Я также сомневаюсь, что удаление этой учетной записи может оказать какое-либо влияние на машину, поскольку файлы и процессы ссылаются на UID, а не на имя пользователя. Было бы целесообразно (хотя, скорее всего, и не обязательно ) иметь под рукой диск восстановления, но я бы удалил его и перезагрузил машину без каких-либо забот.

— Джули Пеллетье

Удален рут из /etc/passwd& /etc/shadow; перезагрузился и теперь все хорошо, root - единственный, кто отображается как пользователь root. Спасибо за вашу помощь!

— Lulzsec

В любом случае, попробуйте запустить какой-нибудь детектор руткита, поскольку вы, возможно, были заражены одним из них. rootkслишком подозрительное имя, а наличие пароля, не являющегося отключенным, является худшим признаком поражения троянским конем. Кстати, не удаляйте запись, просто вставьте букву в поле пароля, чтобы отключить ее, так как она даст вам подсказки, чтобы узнать, как вы заразились.

— Луис Колорадо

@ DarkHeart, Нет, я боюсь, что нет ... но наличие rootkучетной записи с предполагаемым действительным паролем (не отключен) является сильным симптомом некоторого сетевого эксплойта или неправильного использования корневой учетной записи локальным пользователем. Как мы говорим: «Доверяй Богородице и не беги ...». Кстати, как вы думаете, я шестнадцатилетний парень без опыта работы в Unix / Linux? :(

— Луис Колорадо

Может хотеть проверить, /bin/falseявляется ли подлинный файл запуском sudo dpkg -V coreutils. Если он был изменен, пожалуйста, попробуйте переустановить все. Ubuntu 15.04 была EOL в течение 6 месяцев, поэтому любые существующие и будущие дыры в безопасности не будут исправлены, поэтому вы можете захотеть установить более новую версию, такую как 16.04.

— Марк Плотник

Ответы:

Процессы и файлы на самом деле принадлежат номерам пользователей, а не именам пользователей. rootkи rootимеют одинаковый UID, поэтому все, что принадлежит одному, также принадлежит другому. Судя по вашему описанию, кажется, userdelчто каждый корневой процесс (UID 0) рассматривается как принадлежащий rootkпользователю.

Согласно этой странице руководства , userdelесть возможность -fпринудительного удаления учетной записи, даже если она имеет активные процессы. И userdel, вероятно, просто удалил бы rootkзапись passwd и домашний каталог, не затрагивая действительную учетную запись root.

Чтобы быть более безопасным, я мог бы склониться вручную отредактировать файл паролей для удаления записи rootk, а затем в rootkдомашнюю директорию hand-remove . В вашей системе может быть указана команда vipw, которая позволяет безопасно редактировать /etc/passwdтекстовый редактор.

— Рахул
источник

Спасибо, что отвечаете! Я чувствую себя королем облегчения, я думал, что это был какой-то задира! Я сделал, как вы сказали, я удалил запись для rootk в / etc / passwd. Но там не было rootkдомашнего каталога

— Lulzsec

@Lulzsec: Это никоим образом не говорит нам, была ли rootkучетная запись создана в качестве бэкдора. Это просто означает, что его можно легко удалить.

— Джули Пеллетье

Я думаю, что вы не полностью решили проблему. Проверьте мои комментарии на ваш вопрос, пожалуйста.

— Луис Колорадо

Будьте осторожны, чтобы не запускать userdel -r, поскольку домашний каталог rootk, по-видимому,/

— Джефф Шаллер

@JeffSchaller Но если вы это сделаете, вы также решили проблему в некотором роде. Злоумышленник не может видеть файлы!

— Киркпатт

Это действительно похоже на черный ход.

Я бы посчитал систему скомпрометированной и сбросил ее с орбиты, даже если можно удалить пользователя, которого вы не представляете, какие интересные сюрпризы были оставлены на машине (например, кейлоггер для получения паролей пользователей для различных веб-сайтов).

— Саймон Рихтер
источник

положить его в микроволновку и купить новый.

— Аарон Макмиллин

Что делает это похожим на черный ход? Соответствует ли оно каким-либо известным профилям, руткитам и т. Д.?

— Freiheit

@Freiheit Ну, дополнительный пользователь с правами root - это в значительной степени определение руткита / бэкдора. Когда кто-то вошел в систему как этот пользователь, он мог в значительной степени поставить под угрозу все в системе. Даже если учетная запись была создана для какой-то невинной цели (и я понятия не имею, что это будет), кто-то другой мог бы обнаружить ее и использовать ее злонамеренно (прочитайте, например, о DRM Sony, которая руткитирует Windows).

— IMSoP

@kasperd: пароль не отключен, он в /etc/shadow. Установка оболочки /bin/false(если это не было изменено) может отключить интерактивный вход в систему, но не помешает использованию учетной записи другими способами. Например, sudo -sпосмотрим на SHELLпеременную окружения, а не /etc/passwd, чтобы определить, какую оболочку запустить.

— Бен Фойгт

@kasperd: Ах, хорошо. Может ли это быть способом получения задач, выполняемых периодически как root, из скрытого crontab (хотя выбор в /качестве домашнего каталога кажется несовместимым с этим)?

— Бен Фойгт