Duas contas de raiz, o que fazer?

19

Eu estou no Ubuntu 15.04 e hoje eu tenho lido um artigo sobre a segurança do Linux a partir de este link .

Tudo correu bem até a parte da conta do UID 0

Only root should have the UID 0. Another account with that UID is often synonymous to backdoor.

Ao executar o comando que eles me deram, descobri que havia outra conta root. Logo depois disso eu desabilitei a conta como o artigo faz, mas estou meio que com medo dessa conta, posso encontrá-lo em /etc/passwd

rootk:x:0:500::/:/bin/false

E em /etc/shadow

rootk:!$6$loVamV9N$TorjQ2i4UATqZs0WUneMGRCDFGgrRA8OoJqoO3CCLzbeQm5eLx.VaJHeVXUgAV7E5hgvDTM4BAe7XonW6xmup1:16795:0:99999:7::1:

Eu tentei excluir essa conta usando userdel rootk , mas recebi esse erro;

userdel: user rootk is currently used by process 1

O processo 1 é systemd. Alguém poderia me dar algum conselho, por favor? Eu deveria userdel -f ? Esta conta é uma conta root normal?

    
por Lulzsec 17.08.2016 / 07:52

2 respostas

27

Processos e arquivos são, na verdade, de propriedade de números de ID de usuário, não nomes de usuário. rootk e root têm o mesmo UID, então tudo que pertence a um também pertence ao outro. Com base na sua descrição, parece que userdel viu cada processo raiz (UID 0) como pertencente a rootk user.

De acordo com esta página de manual , userdel tem uma opção -f para forçar a remoção da conta mesmo que tenha processos ativos. E userdel provavelmente excluiria a entrada passwd e o diretório pessoal de rootk , sem afetar a conta raiz real.

Para ser mais seguro, posso estar inclinado a editar manualmente o arquivo de senha para remover a entrada de rootk e, em seguida, remover o diretório inicial de rootk . Você pode ter um comando em seu sistema chamado vipw , que permite editar com segurança o /etc/passwd em um editor de texto.

    
por 17.08.2016 / 08:05
23

Isso realmente parece um backdoor.

Eu consideraria o sistema comprometido e nuke de órbita, mesmo que seja possível remover o usuário você não tem idéia do que surpresas interessantes foram deixadas na máquina (por exemplo, um keylogger para obter as senhas dos usuários para vários sites) .

    
por 17.08.2016 / 10:11