Zwei Root-Accounts, was tun?

19

Ich bin auf Ubuntu 15.04 und habe heute über diesen Link einen Artikel über Linux-Sicherheit gelesen .

Alles lief gut, bis der Teil des UID 0-Kontos

Nur root sollte die UID 0 haben. Ein anderes Konto mit dieser UID ist oft synonym zu Backdoor.

Als ich den Befehl ausgeführt habe, den sie mir gegeben haben, habe ich herausgefunden, dass es einen anderen Root-Account gibt. Kurz danach habe ich den Account wie im Artikel deaktiviert, aber ich habe Angst vor diesem Account. Ich kann ihn auf finden/etc/passwd

rootk:x:0:500::/:/bin/false

Und in /etc/shadow

rootk:!$6$loVamV9N$TorjQ2i4UATqZs0WUneMGRCDFGgrRA8OoJqoO3CCLzbeQm5eLx.VaJHeVXUgAV7E5hgvDTM4BAe7XonW6xmup1:16795:0:99999:7::1:

Ich habe versucht, dieses Konto mit zu löschen, habe userdel rootkjedoch diesen Fehler erhalten.

userdel: user rootk is currently used by process 1

Der Prozess 1 ist systemd. Könnte mir bitte jemand einen Rat geben? Soll ich userdel -f? Ist dieses Konto ein normales Root-Konto?

Lulzsec
quelle
5
Ich vermute sehr, dass dieser Fehler einfach daran liegt, dass sie die gleiche UID (0) haben. Ich habe gerade einen Test durchgeführt, indem ich einen zweiten Benutzer mit einer vorhandenen UID erstellt habe, und es wurde als der erste in gemeldet /etc/passwd. Ich bezweifle auch, dass das Entfernen dieses Kontos Auswirkungen auf den Computer haben könnte, da sich Dateien und Prozesse auf die UID und nicht auf den Benutzernamen beziehen. Es wäre ratsam (obwohl höchstwahrscheinlich nicht erforderlich ), eine Wiederherstellungsdiskette zur Hand zu haben, aber ich würde sie entfernen und den Computer ohne Bedenken neu starten.
Julie Pelletier
2
Rootk von /etc/passwd& entfernt /etc/shadow; Neustart und jetzt ist alles in Ordnung. root wird als einziger Benutzer als root angezeigt. Vielen Dank für Ihre Hilfe!
Lulzsec
3
Versuchen Sie in beiden Fällen, einen Root-Kit-Detektor auszuführen, da Sie möglicherweise von einem infiziert wurden. rootkist ein zu verdächtiger Name und ein nicht deaktiviertes Passwort ist ein schlimmeres Symptom dafür, von einem Trojaner besiegt worden zu sein. Übrigens, entfernen Sie den Eintrag nicht. Geben Sie einfach einen Buchstaben in das Passwortfeld ein, um ihn zu deaktivieren, da Sie dadurch Hinweise darauf erhalten, wie Sie infiziert wurden.
Luis Colorado
1
@DarkHeart, Nein, ich fürchte nicht ... aber ein rootkKonto mit einem angeblich gültigen Passwort (nicht deaktiviert) ist ein starkes Symptom für einen Netzwerk-Exploit oder Missbrauch des Root-Kontos durch den lokalen Benutzer. Wie wir sagen: "Vertraue der Heiligen Jungfrau und renne nicht ...". Glaubst du übrigens, ich bin ein Sechzehnjähriger ohne Erfahrung in Unix / Linux? :(
Luis Colorado
2
Möglicherweise möchten Sie überprüfen, ob /bin/falsees sich um die Originaldatei handelt, indem Sie ausführen sudo dpkg -V coreutils. Wenn es geändert wurde, ziehen Sie bitte in Betracht, alles neu zu installieren. Ubuntu 15.04 ist seit 6 Monaten EOL. Bestehende und zukünftige Sicherheitslücken werden daher nicht behoben. Möglicherweise möchten Sie eine neuere Version wie 16.04 installieren.
Mark Plotnick

Antworten:

27

Prozesse und Dateien gehören tatsächlich den Benutzer-IDs, nicht den Benutzernamen. rootkund roothaben die gleiche UID, so dass alles, was einem gehört, auch dem anderen gehört. Basierend auf Ihrer Beschreibung klingt es so, userdelals hätte jeder Root-Prozess (UID 0) einen dazugehörigen rootkBenutzer.

Nach diesem Mann Seite , userdelhat eine Option -fEntfernen des Kontos zu zwingen , selbst wenn es aktive Prozesse hat. Und userdelwürde wahrscheinlich nur rootkden passwd-Eintrag und das Home-Verzeichnis löschen , ohne das eigentliche Root-Konto zu beeinflussen.

Um sicherer zu sein, neige ich möglicherweise dazu, die Kennwortdatei von Hand zu bearbeiten, um den Eintrag für zu entfernen rootk, und dann das Ausgangsverzeichnis von Hand zu entfernen rootk. Möglicherweise haben Sie einen Befehl auf Ihrem System namens vipw, mit dem Sie sicher /etc/passwdin einem Texteditor bearbeiten können .

Rahul
quelle
Vielen Dank für Ihre Antwort! Ich fühle mich König der Erleichterung, ich dachte, es wäre eine schlechte Hintertür! Ich habe, wie Sie gesagt haben, den Eintrag für rootk in / etc / passwd entfernt. Aber es gab kein rootkHeimatverzeichnis
Lulzsec
26
@Lulzsec: Dies sagt uns in keiner Weise, ob das rootkKonto als Hintertür erstellt wurde. Es bedeutet nur, dass es leicht entfernt werden kann.
Julie Pelletier
2
Ich denke, Sie haben das Problem nicht vollständig gelöst. Bitte überprüfen Sie meine Kommentare zu Ihrer Frage.
Luis Colorado
6
Achten Sie darauf, dass Sie nicht userdel -r ausführen, da anscheinend das Stammverzeichnis von rootk lautet/
Jeff Schaller
@ JeffSchaller Aber wenn du das tust, hast du auch das Problem in gewisser Weise gelöst. Ein böswilliger Benutzer konnte keine Dateien sehen!
Kirkpatt
23

Das sieht in der Tat wie eine Hintertür aus.

Ich würde das System als kompromittiert betrachten und es aus dem Orbit entfernen, auch wenn es möglich ist, den Benutzer zu entfernen. Sie haben keine Ahnung, welche interessanten Überraschungen auf dem Computer geblieben sind (z. B. ein Keylogger, um Benutzerpasswörter für verschiedene Websites abzurufen).

Simon Richter
quelle
4
Stelle es in die Mikrowelle und kaufe ein neues.
Aaron McMillin
2
Was macht das aus wie eine Hintertür? Entspricht es bekannten Profilen, Rootkits usw.?
Freiheit
5
@Freiheit Nun, ein zusätzlicher Benutzer mit Root-Rechten ist so ziemlich die Definition eines Rootkits / einer Backdoor. Sobald jemand als dieser Benutzer angemeldet war, konnte er so ziemlich alles auf dem System gefährden. Selbst wenn das Konto für einen unschuldigen Zweck erstellt wurde (und ich habe keine Ahnung, was das sein würde), könnte es jemand anderes entdeckt und böswillig verwendet haben (lesen Sie in dem Sony DRM nach, das beispielsweise Windows als Rootkit verwendet).
IMSoP
1
@kasperd: Das Passwort ist nicht deaktiviert, es ist in /etc/shadow. Durch Festlegen der Shell auf /bin/false(falls dies nicht manipuliert wurde) wird möglicherweise die interaktive Anmeldung deaktiviert, aber die Verwendung des Kontos auf andere Weise wird nicht verhindert. sudo -sSehen Sie sich beispielsweise die SHELLUmgebungsvariable an und nicht /etc/passwd, um festzustellen, welche Shell ausgeführt werden soll.
Ben Voigt
1
@kasperd: Ah, ok. Könnte es eine Möglichkeit sein, Tasks von einer versteckten crontab periodisch als root ausführen zu lassen (obwohl die Wahl eines /Home-Verzeichnisses damit unvereinbar zu sein scheint)?
Ben Voigt