Duas contas raiz, o que fazer?

19

Estou no Ubuntu 15.04 e hoje tenho lido um artigo sobre segurança Linux neste link.

Tudo correu bem até a parte da conta UID 0

Somente a raiz deve ter o UID 0. Outra conta com esse UID geralmente é sinônimo de backdoor.

Ao executar o comando que eles me deram, descobri que havia outra conta root. Depois disso, desativei a conta como o artigo, mas tenho um pouco de medo dessa conta, posso encontrá-lo em/etc/passwd

rootk:x:0:500::/:/bin/false

E em /etc/shadow

rootk:!$6$loVamV9N$TorjQ2i4UATqZs0WUneMGRCDFGgrRA8OoJqoO3CCLzbeQm5eLx.VaJHeVXUgAV7E5hgvDTM4BAe7XonW6xmup1:16795:0:99999:7::1:

Tentei excluir esta conta usando userdel rootkmas obtive este erro;

userdel: user rootk is currently used by process 1

O processo 1 é systemd. Alguém poderia me dar alguns conselhos, por favor? Eu deveria userdel -f? Esta conta é uma conta root normal?

ubuntu security root Lulzsec
fonte
5
Eu suspeito fortemente que esse erro seja simplesmente porque eles têm o mesmo UID (0). Acabei de fazer um teste criando um segundo usuário com um UID existente e ele foi relatado como o primeiro /etc/passwd. Também duvido que a remoção dessa conta possa ter algum impacto na máquina, pois arquivos e processos se referem ao UID e não ao nome de usuário. Seria aconselhável (embora provavelmente não seja necessário ) ter um disco de recuperação à mão, mas eu o removia e reiniciava a máquina sem qualquer preocupação.
Julie Pelletier
2
Rootk removido do /etc/passwd& /etc/shadow; reiniciado e tudo está bom agora, o root está sendo o único mostrado como usuário root Obrigado por sua ajuda!
Lulzsec
3
Em qualquer um dos casos, tente executar algum detector de kit raiz, pois você provavelmente poderia ter sido infectado por um. rootké um nome muito suspeito, e ter uma senha não desativada é pior sintoma de ter sido derrotado por um cavalo de tróia. A propósito, não remova a entrada, basta inserir uma letra no campo da senha para desativá-la, pois isso lhe dará pistas para saber como você foi infectado.
Luis Colorado
1
@ DarkHeart, não, receio que não ... mas ter uma rootkconta com uma suposta senha válida (não desativada) é um forte sintoma de alguma exploração de rede ou uso indevido da conta raiz pelo usuário local. Como costumamos dizer: "Confie na Santa Virgem e não corra ...". A propósito, você acha que eu sou um garoto de dezesseis anos sem experiência em unix / linux? :(
Luis Colorado
2
Pode querer verificar se /bin/falseé o arquivo original executando sudo dpkg -V coreutils. Se foi alterado, considere reinstalar tudo. O Ubuntu 15.04 é EOL há 6 meses; portanto, quaisquer falhas de segurança existentes e futuras não serão corrigidas; portanto, convém instalar uma versão mais recente, como 16.04.
Mark Plotnick

Respostas:

27

Processos e arquivos são de propriedade de números de identificação do usuário, não nomes de usuário. rootke rootter o mesmo UID, portanto, tudo o que pertence a um também pertence ao outro. Com base na sua descrição, parece que userdeltodos os processos raiz (UID 0) são considerados rootkusuários pertencentes .

De acordo com esta página de manual , userdeltem uma opção -fpara forçar a remoção da conta, mesmo que ela tenha processos ativos. E userdelprovavelmente apenas rootkexcluiria a entrada de senha e o diretório pessoal, sem afetar a conta raiz real.

Para ser mais seguro, posso estar inclinado a editar manualmente o arquivo de senha para remover a entrada do diretório inicial de rootkremoção manual rootk. Você pode ter um comando no sistema nomeado vipw, que permite editar com segurança /etc/passwdem um editor de texto.

Rahul
fonte
Obrigado por responder! Sinto-me rei de alívio, pensei que fosse uma porta dos fundos! Fiz como você disse, removi a entrada para rootk no / etc / passwd. Mas não havia rootko diretório inicial de
Lulzsec
26
@Lzzsec: Isso não nos diz se a rootkconta foi criada como backdoor. Apenas significa que pode ser removido facilmente.
Julie Pelletier
2
Eu acho que você não resolveu completamente o problema. Confira meus comentários sobre sua pergunta, por favor.
Luis Colorado
6
Tenha cuidado para não correr userdel -r, como aparentemente diretório home do rootk é/
Jeff Schaller
@JeffSchaller Mas, se o fizer, você também resolveu o problema de certa forma. Um usuário mal-intencionado não conseguiu ver nenhum arquivo!
precisa saber é o seguinte
23

Isso realmente parece um backdoor.

Eu consideraria o sistema comprometido e o retiraria da órbita, mesmo que seja possível remover o usuário, você não tem idéia de quais surpresas interessantes foram deixadas na máquina (por exemplo, um keylogger para obter as senhas dos usuários para vários sites).

Simon Richter
fonte
4
coloque no microondas e compre um novo.
Aaron McMillin
2
O que faz isso parecer um backdoor? Corresponde a perfis conhecidos, rootkits etc.?
Freiheit
5
@ Freiheit Bem, um usuário adicional com permissões de root é praticamente a definição de um rootkit / backdoor. Uma vez que alguém estivesse logado como usuário, eles poderiam comprometer qualquer coisa no sistema. Mesmo que a conta tenha sido criada para algum objetivo inocente (e não tenho idéia do que seria), alguém poderia descobri-la e usá-la com intuito malicioso (leia o DRM da Sony que instalou o root no Windows por exemplo).
IMSOP
1
@kasperd: A senha é não desactivado, é no /etc/shadow. Definir o shell como /bin/false(se não tiver sido adulterado) pode desativar o logon interativo, mas não impede que a conta seja usada de outras maneiras. Por exemplo, sudo -sexaminará a SHELLvariável de ambiente, não /etc/passwd, para determinar qual shell executar.
Ben Voigt
1
@kasperd: Ah, ok. Pode ser uma maneira de executar tarefas periodicamente como raiz a partir de um crontab oculto (embora a escolha de /diretório inicial pareça inconsistente com isso)?
Ben Voigt