Dos cuentas raíz, ¿qué hacer?

19

Estoy en Ubuntu 15.04 y hoy he estado leyendo un artículo sobre seguridad de Linux desde este enlace.

Todo salió bien hasta la parte de la cuenta UID 0

Solo el root debería tener el UID 0. Otra cuenta con ese UID a menudo es sinónimo de puerta trasera.

Al ejecutar el comando que me dieron, descubrí que había otra cuenta raíz. Justo después de eso deshabilité la cuenta como lo hace el artículo, pero tengo miedo de esta cuenta, puedo encontrarlo en/etc/passwd

rootk:x:0:500::/:/bin/false

Y en /etc/shadow

rootk:!$6$loVamV9N$TorjQ2i4UATqZs0WUneMGRCDFGgrRA8OoJqoO3CCLzbeQm5eLx.VaJHeVXUgAV7E5hgvDTM4BAe7XonW6xmup1:16795:0:99999:7::1:

Intenté eliminar esta cuenta usando userdel rootkpero obtuve este error;

userdel: user rootk is currently used by process 1

El proceso 1 es systemd. ¿Alguien podría darme algún consejo por favor? Debería userdel -f? ¿Es esta cuenta una cuenta raíz normal?

ubuntu security root Lulzsec
fuente
55
Sospecho firmemente que este error es simplemente porque tienen el mismo UID (0). Acabo de hacer una prueba creando un segundo usuario con un UID existente y se informó que es el primero /etc/passwd. También dudo que eliminar esa cuenta pueda tener algún impacto en la máquina, ya que los archivos y procesos se refieren al UID y no al nombre de usuario. Sería aconsejable (aunque probablemente no sea necesario ) tener un disco de recuperación a mano, pero lo quitaría y reiniciaría la máquina sin ninguna preocupación.
Julie Pelletier
2
Se eliminó rootk de /etc/passwd& /etc/shadow; reiniciado y todo está bien ahora, root es el único que se muestra como usuario root ¡Gracias por tu ayuda!
Lulzsec
3
En cualquier caso, intente ejecutar un detector de kit de raíz, ya que probablemente podría haberse infectado con uno. rootkes un nombre demasiado sospechoso, y tener una contraseña no deshabilitada es peor síntoma de haber sido derrotado por un troyano. Por cierto, no elimine la entrada, simplemente inserte una letra en el campo de contraseña para deshabilitarla, ya que le dará pistas para saber cómo se infectó.
Luis Colorado
1
@DarkHeart, No, me temo que no ... pero tener una rootkcuenta con una supuesta contraseña válida (no deshabilitada) es un síntoma fuerte de alguna explotación de red o mal uso de la cuenta raíz por parte del usuario local. Como solemos decir: "Confía en la Santísima Virgen y no corras ...". Por cierto, ¿crees que soy un chico de dieciséis años sin experiencia en Unix / Linux? :(
Luis Colorado
2
Es posible que desee comprobar si /bin/falsees el archivo genuino ejecutando sudo dpkg -V coreutils. Si se ha modificado, considere reinstalar todo. Ubuntu 15.04 ha sido EOL durante 6 meses, por lo que los agujeros de seguridad existentes y futuros no se solucionarán, por lo que es posible que desee instalar una versión más nueva como 16.04.
Mark Plotnick

Respuestas:

27

Los procesos y archivos son propiedad de números de identificación de usuario, no de nombres de usuario. rootky roottienen el mismo UID, por lo que todo lo que es propiedad de uno también es propiedad del otro. Según su descripción, parece que userdelvio todos los procesos raíz (UID 0) como rootkusuario perteneciente .

Según esta página de manual , userdeltiene la opción -fde forzar la eliminación de la cuenta incluso si tiene procesos activos. Y userdelprobablemente solo eliminaría rootkla entrada passwd y el directorio de inicio, sin afectar la cuenta raíz real.

Para estar más seguro, podría inclinarme a editar manualmente el archivo de contraseña para eliminar la entrada rootky luego eliminar a mano el rootkdirectorio de inicio. Puede tener un comando en su sistema llamado vipw, que le permite editar de forma segura /etc/passwden un editor de texto.

Rahul
fuente
Gracias por contestar! Me siento aliviado, ¡pensé que era una puerta trasera rudo! Hice lo que dijiste, eliminé la entrada para rootk en / etc / passwd. Pero no hubo rootk's en Inicio
Lulzsec
26
@Lulzsec: Esto de ninguna manera nos dice si la rootkcuenta se creó como una puerta trasera. Simplemente significa que se puede quitar fácilmente.
Julie Pelletier
2
Creo que no has resuelto completamente el problema. Revise mis comentarios sobre su pregunta, por favor.
Luis Colorado
66
Tenga cuidado de no ejecutar userdel -r, ya que aparentemente el directorio de inicio de rootk es/
Jeff Schaller
@JeffSchaller Pero si lo haces, también has resuelto el problema de alguna manera. ¡Un usuario malintencionado no pudo ver ningún archivo!
kirkpatt
23

De hecho, parece una puerta trasera.

Consideraría el sistema comprometido y lo destruiría de la órbita, incluso si es posible eliminar al usuario, no tiene idea de qué sorpresas interesantes quedaron en la máquina (por ejemplo, un keylogger para obtener las contraseñas de los usuarios para varios sitios web).

Simon Richter
fuente
44
ponlo en el microondas y compra uno nuevo.
Aaron McMillin
2
¿Qué hace que parezca una puerta trasera? ¿Coincide con perfiles conocidos, rootkits, etc.?
Freiheit
55
@Freiheit Bueno, un usuario adicional con permisos de root es más o menos la definición de un rootkit / puerta trasera. Una vez que alguien inició sesión como ese usuario, podría comprometer prácticamente cualquier cosa en el sistema. Incluso si la cuenta se creó para algún propósito inocente (y no tengo idea de lo que sería), alguien más podría haberla descubierto y utilizarla maliciosamente (lea en el DRM de Sony que arraigó Windows por ejemplo).
IMSoP
1
@kasperd: la contraseña no está deshabilitada, está dentro /etc/shadow. Establecer el shell en /bin/false(si no se ha alterado) puede deshabilitar el inicio de sesión interactivo, pero no evitará que la cuenta se use de otras maneras. Por ejemplo, sudo -sobservará la SHELLvariable de entorno, no /etc/passwd, para determinar qué shell ejecutar.
Ben Voigt
1
@kasperd: Ah, está bien. ¿Podría ser una forma de ejecutar tareas periódicamente como root desde un crontab oculto (aunque la elección de /como directorio de inicio parece inconsistente con eso)?
Ben Voigt