apache_user é usuário 0

2

Eu coloquei minhas mãos neste servidor que executa o cpanel / whm, que ainda está em produção por mais seis meses ou mais até que migremos para a AWS. Uma coisa que está me incomodando é que quando eu ssh em eu uso a conta de root, mas uma vez que eu me autentico às vezes estou logado como apache_user. Ao dar uma olhada no / etc / passwd eu encontro essas duas linhas no arquivo.

root:x:0:0:root:/root:/bin/bash
*...stuff...*
apache_user:x:0:0::/home/apache_user:/bin/bash

"hmmm bem, isso não é bom e bastante estranho", eu digo para mim mesmo.

Posso ir em frente e alterar o ID do usuário e do grupo do apache_user para outra coisa?

    
por Bernard Lechler 28.07.2017 / 22:39

1 resposta

2

O ponto é que o usuário do Apache foi alterado para ser executado como root. Essa configuração é perigosa e permite que hacks triviais se transformem em root facilmente.

Gostaria de falar com os administradores anteriores para, pelo menos, ter um mínimo de paz de espírito, isto não é um backdoor deixado de um ataque anterior e é apenas um erro.

Eu também examino backups antigos para investigar há quanto tempo o usuário do Apache tem esse ID.

Erro ou não, as chances são altas de que a máquina já estava comprometida. (várias vezes?)

Também é bastante comum um administrador de sistema desonesto ou um invasor deixar um usuário com id 0. O id 0 dá a qualquer usuário os privilégios de root.

Eu não esperaria por nenhuma migração; Neste ponto do jogo, a questão não é mudar o ID do usuário.

Eu mudaria o id, a senha de apache_user (se houver) e o shell bash desse usuário para / bin / nologin como uma medida imediata. No entanto, um possível hacker pode ter entradas alternativas até agora.

Faça uma imagem / backup e reinstale esse servidor o mais rápido possível.

Se você conseguir recuperar os arquivos de dados de um backup confiável, melhor. A reinstalação pode se livrar de um comprometimento de raiz por enquanto, mas é possível ter shells da web desonestos deixados para trás. Como uma dica iniciante, procure também por arquivos suspeitos de root setuid fora de lugar.

Considere contratar os serviços de um consultor experiente para avaliar todos os seus sistemas. Este servidor pode ser um ponto de entrada na sua estrutura de infratores.

Há também uma possibilidade remota de que isso foi feito de maneira desleixada para não gerenciar permissões de usuário. Esteja preparado para seus sites ou para alguma funcionalidade obscura que falhe de maneiras misteriosas depois de obter privilégios de root do usuário do apache.

    
por 29.07.2017 / 12:35