Ich bin auf Ubuntu 15.04 und habe heute über diesen Link einen Artikel über Linux-Sicherheit gelesen .
Alles lief gut, bis der Teil des UID 0-Kontos
Nur root sollte die UID 0 haben. Ein anderes Konto mit dieser UID ist oft synonym zu Backdoor.
Als ich den Befehl ausgeführt habe, den sie mir gegeben haben, habe ich herausgefunden, dass es einen anderen Root-Account gibt. Kurz danach habe ich den Account wie im Artikel deaktiviert, aber ich habe Angst vor diesem Account. Ich kann ihn auf finden/etc/passwd
rootk:x:0:500::/:/bin/false
Und in /etc/shadow
rootk:!$6$loVamV9N$TorjQ2i4UATqZs0WUneMGRCDFGgrRA8OoJqoO3CCLzbeQm5eLx.VaJHeVXUgAV7E5hgvDTM4BAe7XonW6xmup1:16795:0:99999:7::1:
Ich habe versucht, dieses Konto mit zu löschen, habe userdel rootk
jedoch diesen Fehler erhalten.
userdel: user rootk is currently used by process 1
Der Prozess 1 ist systemd. Könnte mir bitte jemand einen Rat geben? Soll ich userdel -f
? Ist dieses Konto ein normales Root-Konto?
/etc/passwd
. Ich bezweifle auch, dass das Entfernen dieses Kontos Auswirkungen auf den Computer haben könnte, da sich Dateien und Prozesse auf die UID und nicht auf den Benutzernamen beziehen. Es wäre ratsam (obwohl höchstwahrscheinlich nicht erforderlich ), eine Wiederherstellungsdiskette zur Hand zu haben, aber ich würde sie entfernen und den Computer ohne Bedenken neu starten./etc/passwd
& entfernt/etc/shadow
; Neustart und jetzt ist alles in Ordnung. root wird als einziger Benutzer als root angezeigt. Vielen Dank für Ihre Hilfe!rootk
ist ein zu verdächtiger Name und ein nicht deaktiviertes Passwort ist ein schlimmeres Symptom dafür, von einem Trojaner besiegt worden zu sein. Übrigens, entfernen Sie den Eintrag nicht. Geben Sie einfach einen Buchstaben in das Passwortfeld ein, um ihn zu deaktivieren, da Sie dadurch Hinweise darauf erhalten, wie Sie infiziert wurden.rootk
Konto mit einem angeblich gültigen Passwort (nicht deaktiviert) ist ein starkes Symptom für einen Netzwerk-Exploit oder Missbrauch des Root-Kontos durch den lokalen Benutzer. Wie wir sagen: "Vertraue der Heiligen Jungfrau und renne nicht ...". Glaubst du übrigens, ich bin ein Sechzehnjähriger ohne Erfahrung in Unix / Linux? :(/bin/false
es sich um die Originaldatei handelt, indem Sie ausführensudo dpkg -V coreutils
. Wenn es geändert wurde, ziehen Sie bitte in Betracht, alles neu zu installieren. Ubuntu 15.04 ist seit 6 Monaten EOL. Bestehende und zukünftige Sicherheitslücken werden daher nicht behoben. Möglicherweise möchten Sie eine neuere Version wie 16.04 installieren.Antworten:
Prozesse und Dateien gehören tatsächlich den Benutzer-IDs, nicht den Benutzernamen.
rootk
undroot
haben die gleiche UID, so dass alles, was einem gehört, auch dem anderen gehört. Basierend auf Ihrer Beschreibung klingt es so,userdel
als hätte jeder Root-Prozess (UID 0) einen dazugehörigenrootk
Benutzer.Nach diesem Mann Seite ,
userdel
hat eine Option-f
Entfernen des Kontos zu zwingen , selbst wenn es aktive Prozesse hat. Unduserdel
würde wahrscheinlich nurrootk
den passwd-Eintrag und das Home-Verzeichnis löschen , ohne das eigentliche Root-Konto zu beeinflussen.Um sicherer zu sein, neige ich möglicherweise dazu, die Kennwortdatei von Hand zu bearbeiten, um den Eintrag für zu entfernen
rootk
, und dann das Ausgangsverzeichnis von Hand zu entfernenrootk
. Möglicherweise haben Sie einen Befehl auf Ihrem System namensvipw
, mit dem Sie sicher/etc/passwd
in einem Texteditor bearbeiten können .quelle
rootk
Heimatverzeichnisrootk
Konto als Hintertür erstellt wurde. Es bedeutet nur, dass es leicht entfernt werden kann./
Das sieht in der Tat wie eine Hintertür aus.
Ich würde das System als kompromittiert betrachten und es aus dem Orbit entfernen, auch wenn es möglich ist, den Benutzer zu entfernen. Sie haben keine Ahnung, welche interessanten Überraschungen auf dem Computer geblieben sind (z. B. ein Keylogger, um Benutzerpasswörter für verschiedene Websites abzurufen).
quelle
/etc/shadow
. Durch Festlegen der Shell auf/bin/false
(falls dies nicht manipuliert wurde) wird möglicherweise die interaktive Anmeldung deaktiviert, aber die Verwendung des Kontos auf andere Weise wird nicht verhindert.sudo -s
Sehen Sie sich beispielsweise dieSHELL
Umgebungsvariable an und nicht/etc/passwd
, um festzustellen, welche Shell ausgeführt werden soll./
Home-Verzeichnisses damit unvereinbar zu sein scheint)?