Dua akun root, apa yang harus dilakukan?


19

Saya menggunakan Ubuntu 15.04 dan hari ini saya telah membaca artikel tentang keamanan Linux dari tautan ini .

Semuanya berjalan baik sampai bagian Akun UID 0

Hanya root yang harus memiliki UID 0. Akun lain dengan UID itu seringkali identik dengan backdoor.

Ketika menjalankan perintah yang mereka berikan kepada saya, saya menemukan ada akun root lain. Tepat setelah itu saya menonaktifkan akun seperti yang dilakukan artikel, tetapi saya agak takut pada akun ini, saya dapat menemukannya di/etc/passwd

rootk:x:0:500::/:/bin/false

Dan masuk /etc/shadow

rootk:!$6$loVamV9N$TorjQ2i4UATqZs0WUneMGRCDFGgrRA8OoJqoO3CCLzbeQm5eLx.VaJHeVXUgAV7E5hgvDTM4BAe7XonW6xmup1:16795:0:99999:7::1:

Saya mencoba menghapus akun ini menggunakan userdel rootktetapi mendapat kesalahan ini;

userdel: user rootk is currently used by process 1

Proses 1 adalah systemd. Adakah yang bisa memberi saya saran? Haruskah aku userdel -f? Apakah akun ini akun root yang normal?


5
Saya sangat curiga kesalahan ini hanya karena mereka memiliki UID yang sama (0). Saya baru saja melakukan tes dengan membuat pengguna kedua dengan UID yang ada dan dilaporkan sebagai yang pertama di /etc/passwd. Saya juga ragu bahwa menghapus akun itu dapat berdampak pada mesin karena file dan proses merujuk pada UID dan bukan nama pengguna. Akan disarankan (walaupun kemungkinan besar tidak diperlukan ) untuk memiliki disk pemulihan berguna tetapi saya akan menghapusnya dan me-restart mesin tanpa khawatir.
Julie Pelletier

2
Rootk dihapus dari /etc/passwd& /etc/shadow; reboot dan semuanya baik-baik saja sekarang, root menjadi satu-satunya yang ditampilkan sebagai pengguna root Terima kasih atas bantuan Anda!
Lulzsec

3
Yang manapun, cobalah menjalankan beberapa root-kit detector, karena Anda mungkin telah terinfeksi olehnya. rootkadalah nama yang terlalu mencurigakan, dan memiliki kata sandi yang non-cacat adalah gejala yang lebih buruk dari dikalahkan oleh kuda trojan. Omong-omong, jangan hapus entri, cukup masukkan beberapa huruf di bidang kata sandi untuk menonaktifkannya, karena akan memberi Anda petunjuk untuk mengetahui bagaimana Anda terinfeksi.
Luis Colorado

1
@DarkHeart, Tidak, saya khawatir tidak ... tetapi memiliki rootkakun dengan kata sandi yang sah (tidak dinonaktifkan) adalah gejala kuat dari beberapa eksploitasi jaringan atau penyalahgunaan akun root oleh pengguna lokal. Seperti yang biasa kita katakan: "Percaya pada Perawan Suci, dan jangan lari ...". Ngomong-ngomong, apakah Anda pikir saya seorang pria berusia enam belas tahun tanpa pengalaman di unix / linux? :(
Luis Colorado

2
Mungkin ingin memeriksa apakah /bin/falsefile asli dengan menjalankan sudo dpkg -V coreutils. Jika sudah diubah, harap pertimbangkan untuk menginstal ulang semuanya. Ubuntu 15.04 telah menjadi EOL selama 6 bulan, sehingga setiap lubang keamanan yang ada dan di masa depan tidak akan diperbaiki, jadi Anda mungkin ingin menginstal versi yang lebih baru seperti 16.04.
Mark Plotnick

Jawaban:


27

Proses dan file sebenarnya dimiliki oleh nomor ID pengguna, bukan nama pengguna. rootkdan rootmemiliki UID yang sama, jadi semua yang dimiliki oleh satu juga dimiliki oleh yang lain. Berdasarkan uraian Anda, sepertinya userdelmelihat setiap proses root (UID 0) sebagai milik rootkpengguna.

Menurut halaman manual ini , userdelmemiliki opsi -funtuk memaksa penghapusan akun meskipun memiliki proses aktif. Dan userdelmungkin hanya akan menghapus rootkentri passwd dan direktori home, tanpa mempengaruhi akun root yang sebenarnya.

Agar lebih aman, saya mungkin cenderung mengedit sendiri file kata sandi untuk menghapus entri rootk, lalu rootkdirektori home hapus tangan . Anda mungkin memiliki perintah pada sistem Anda bernama vipw, yang memungkinkan Anda mengedit dengan aman /etc/passwddi editor teks.


Terima kasih menjawab! Aku merasa sangat lega, kupikir itu adalah pintu belakang jagoan! Saya lakukan seperti yang Anda katakan, saya menghapus entri untuk rootk di / etc / passwd. Tetapi tidak ada rootkdirektori rumah
Lulzsec

26
@Lulzsec: Ini sama sekali tidak memberi tahu kami jika rootkakun dibuat sebagai pintu belakang. Itu hanya berarti bahwa itu dapat dihapus dengan mudah.
Julie Pelletier

2
Saya pikir Anda belum sepenuhnya menyelesaikan masalah. Tolong, periksa komentar saya pada pertanyaan Anda.
Luis Colorado

6
Berhati-hatilah untuk tidak menjalankan userdel -r, karena direktori home rupanya rootk/
Jeff Schaller

@JeffSchaller Tetapi jika Anda melakukannya, Anda juga telah memecahkan masalah. Seorang pengguna jahat tidak dapat melihat file apa pun!
kirkpatt

23

Itu memang terlihat seperti pintu belakang.

Saya akan mempertimbangkan sistem dikompromikan dan mengeluarkannya dari orbit, bahkan jika memungkinkan untuk menghapus pengguna, Anda tidak tahu kejutan apa yang tersisa pada mesin (mis. Keylogger untuk mendapatkan kata sandi pengguna untuk berbagai situs web).


4
masukkan ke dalam microwave dan belilah yang baru.
Aaron McMillin

2
Apa yang membuatnya tampak seperti pintu belakang? Apakah ini cocok dengan profil, rootkit, dll yang dikenal?
Freiheit

5
@Freiheit Yah, pengguna tambahan dengan izin root cukup banyak definisi dari rootkit / backdoor. Begitu seseorang masuk sebagai pengguna itu, mereka bisa kompromi apa saja pada sistem. Bahkan jika akun itu dibuat untuk tujuan yang tidak bersalah (dan saya tidak tahu apa yang akan terjadi), orang lain dapat menemukannya dan menggunakannya dengan jahat (baca tentang DRM Sony yang melakukan root pada Windows misalnya).
IMSoP

1
@kasperd: Sandi tidak cacat, itu di /etc/shadow. Menyetel shell ke /bin/false(jika belum dirusak) dapat menonaktifkan login interaktif, tetapi tidak akan mencegah akun dari digunakan dengan cara lain. Misalnya, sudo -sakan melihat SHELLvariabel lingkungan, bukan /etc/passwd, untuk menentukan shell apa yang harus dijalankan.
Ben Voigt

1
@kasperd: Ah, baiklah. Mungkinkah ini cara untuk mendapatkan tugas yang dieksekusi secara berkala sebagai root dari crontab tersembunyi (walaupun pilihan /direktori home sepertinya tidak konsisten dengan itu)?
Ben Voigt
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.