두 개의 루트 계정, 어떻게해야합니까?

나는 Ubuntu 15.04에 있으며 오늘 이 링크 에서 Linux 보안에 대한 기사를 읽었습니다 .

UID 0 계정의 일부가 될 때까지 모든 것이 잘되었습니다.

root 만 UID 0을 가져야합니다. 해당 UID를 가진 다른 계정은 종종 백도어와 동의어입니다.

그들이 나에게 준 명령을 실행할 때 다른 루트 계정이 있음을 알았습니다. 그 직후에 기사와 마찬가지로 계정을 사용 중지했지만이 계정을 두려워합니다./etc/passwd

rootk:x:0:500::/:/bin/false

그리고 /etc/shadow

rootk:!$6$loVamV9N$TorjQ2i4UATqZs0WUneMGRCDFGgrRA8OoJqoO3CCLzbeQm5eLx.VaJHeVXUgAV7E5hgvDTM4BAe7XonW6xmup1:16795:0:99999:7::1:

이 계정을 사용하여 삭제하려고 userdel rootk했지만이 오류가 발생했습니다.

userdel: user rootk is currently used by process 1

프로세스 1이 체계화되었습니다. 누구든지 조언을 해 줄 수 있습니까? 내가해야합니까 userdel -f? 이 계정은 일반 루트 계정입니까?

ubuntu security root

— 룰 츠섹
소스

나는이 오류가 단순히 동일한 UID (0)를 가지고 있기 때문에 의심합니다. 방금 기존 UID로 두 번째 사용자를 만들어 테스트를 수행했으며의 첫 번째 사용자로보고되었습니다 /etc/passwd. 또한 파일과 프로세스가 사용자 이름이 아닌 UID를 참조하기 때문에 해당 계정을 제거하면 시스템에 영향을 줄 수 있습니다. 복구 디스크를 편리하게 사용하는 것이 좋지만 ( 대부분 필요 하지는 않지만 ) 복구 디스크를 제거하고 걱정없이 컴퓨터를 다시 시작합니다.

— Julie Pelletier

/etc/passwd& 에서 rootk를 제거했습니다 /etc/shadow. 재부트되어 모든 것이 정상입니다. 루트는 루트 사용자로 표시된 유일한 것입니다. 도와 주셔서 감사합니다!

— Lulzsec

두 경우 모두 루트킷 탐지기를 실행하십시오. 아마도 루트킷 탐지기에 감염되었을 수 있습니다. rootk이름이 너무 의심스럽고 비활성화되지 않은 비밀번호를 갖는 것은 트로이 목마에 의해 패배 한 증상입니다. 그건 그렇고, 항목을 제거하지 말고 암호 필드에 문자를 삽입하여 비활성화하면 어떻게 감염되었는지 알 수 있습니다.

— Luis 콜로라도

@DarkHeart, 아니요, 두려워하지 않습니다 ...하지만 rootk유효한 암호 (비활성화되지 않은)로 계정을 갖는 것은 로컬 사용자가 네트워크를 악용하거나 루트 계정을 잘못 사용하는 것의 강력한 증상입니다. "신성한 처녀를 신뢰하고 달리지 마라 ..." 그건 그렇고, 내가 유닉스 / 리눅스에 경험이없는 16 세의 사람이라고 생각합니까? :(

— Luis Colorado

/bin/false를 실행하여 정품 파일인지 확인하고 싶을 수 있습니다 sudo dpkg -V coreutils. 변경된 경우 모든 것을 다시 설치하십시오. Ubuntu 15.04는 6 개월 동안 EOL로 사용되므로 기존 및 향후 보안 취약점이 해결되지 않으므로 16.04와 같은 최신 버전을 설치해야 할 수 있습니다.

— Mark Plotnick

답변:

프로세스와 파일은 실제로 사용자 이름이 아닌 사용자 ID 번호로 소유합니다. rootk그리고 root하나가 소유 한 모든 것이 또한 다른 소유하고 있으므로, 같은 UID 있습니다. 귀하의 설명에 따르면 userdel모든 루트 프로세스 (UID 0)가 소속 rootk사용자 로 본 것처럼 들립니다 .

이에 따라 man 페이지 , userdel옵션이 있습니다-f 활성화 된 프로세스가 있더라도 계정을 강제로 제거 이 있습니다. 그리고 userdel아마도 rootk실제 루트 계정에 영향을 미치지 않고의 passwd 항목과 홈 디렉토리를 삭제했을 것입니다 .

보다 안전하게하기 위해 비밀번호 파일을 직접 편집하여에 대한 항목을 제거한 rootk다음 rootk홈 디렉토리 를 직접 삭제하는 경향이 있습니다 . 텍스트 편집기에서 vipw안전하게 편집 할 수있는 라는 시스템에 명령이있을 수 있습니다 /etc/passwd.

— 라훌
소스

답변 감사합니다! 나는 안심의 왕이라고 생각합니다. 나는 당신이 말한 것처럼 / etc / passwd에서 rootk에 대한 항목을 제거했습니다. 그러나 rootk홈 디렉토리 는 없었습니다

— Lulzsec

@Lulzsec : rootk계정이 백도어로 생성 되었는지 여부를 알려주지는 않습니다 . 그것은 쉽게 제거 할 수 있음을 의미합니다.

— Julie Pelletier

나는 당신이 문제를 완전히 해결하지 못했다고 생각합니다. 귀하의 질문에 대한 의견을 확인하십시오.

— 루이스 콜로라도

rootk의 홈 디렉토리는 다음과 같이 userdel -r을 실행하지 않도록주의하십시오./

— Jeff Schaller

@JeffSchaller 그러나 그렇게한다면 어떤 식 으로든 문제를 해결 한 것입니다. 악의적 인 사용자가 파일을 볼 수 없습니다!

— kirkpatt

실제로 백도어처럼 보입니다.

사용자가 시스템을 손상시킬 수 있다고해도 시스템이 손상되어 궤도에서 핵을 ke다고 생각합니다. 컴퓨터에 어떤 놀라운 놀라움이 남아 있는지 전혀 알지 못합니다 (예 : 다양한 웹 사이트의 사용자 비밀번호를 얻기위한 키로거).

— 사이먼 리히터
소스

전자 레인지에 넣고 새로 구입하십시오.

— Aaron McMillin

이것이 백도어처럼 보이는 이유는 무엇입니까? 알려진 프로파일, 루트킷 등과 일치합니까?

— Freiheit

@Freiheit 글쎄, 루트 권한을 가진 추가 사용자는 루트킷 / 백도어의 정의와 거의 같습니다. 누군가 해당 사용자로 로그인하면 시스템의 모든 항목을 거의 손상시킬 수 있습니다. 무고한 목적으로 계정을 만들었더라도 (어떻게 될지 모르겠지만) 다른 사람이 계정을 발견하여 악의적으로 사용할 수 있습니다 (예 : Windows를 루트킷에 넣은 Sony DRM에서 읽음).

— IMSoP

@kasperd : 비밀번호가 비활성화되어 있지 않습니다 /etc/shadow. 셸을 /bin/false변경하지 않은 경우로 설정하면 대화 형 로그인이 비활성화 될 수 있지만 계정이 다른 방식으로 사용되는 것은 막을 수 없습니다. 예를 들어, 실행할 쉘을 결정하기 위해 환경 변수 sudo -s가 아닌를 살펴 봅니다 . SHELL/etc/passwd

— Ben Voigt

@kasperd : 아, 알겠습니다. 숨겨진 crontab에서 루트로 작업을 주기적으로 실행하는 방법 일 수 있습니다 ( /홈 디렉토리 의 선택이 일치하지 않는 것처럼 보이지만)?

— Ben Voigt