이 서버는 cpanel/whm을 실행하고 있으며 AWS로 이동하기 전까지 약 6개월 동안 프로덕션 환경에서 계속 실행될 것입니다. 한 가지 짜증나는 점은 ssh 접속할 때 루트 계정을 사용하는데 한번 인증하면 apache_user로 로그인이 되는 경우가 있습니다. /etc/passwd를 보면 파일에서 다음 두 줄을 발견했습니다.
root:x:0:0:root:/root:/bin/bash
*...stuff...*
apache_user:x:0:0::/home/apache_user:/bin/bash
“글쎄, 그건 좋지도 않고 이상해.” 나는 속으로 중얼거렸다.
apache_user의 사용자 및 그룹 ID를 다른 것으로 변경할 수 있나요?
답변1
Apache 사용자에게 초점이 맞춰져 있습니다.예전에는루트로 실행되도록 변경합니다. 이 설정은 위험하며 사소한 해킹이 쉽게 루트로 확대될 수 있습니다.
나는 이전 시스템 관리자에게 이것이 마지막 공격에서 남겨진 백도어가 아니라 단지 버그일 뿐이라는 점을 최소한 확신시켜 주었습니다.
또한 Apache 사용자가 해당 ID를 얼마나 오랫동안 보유했는지 조사하기 위해 이전 백업을 정독했습니다.
버그가 있든 없든 시스템이 손상되었을 가능성은 상당히 높습니다. (여러번?)
악의적인 시스템 관리자나 공격자가 ID 0을 가진 사용자를 남겨 두는 것도 매우 일반적입니다. ID 0은 모든 사용자에게 루트 권한을 제공합니다.
게임의 이 시점에서 문제는 사용자 ID를 변경하는 것이 아닙니다.
apache_user의 ID, 비밀번호(있는 경우) 및 해당 사용자에 대한 /bin/nologin의 bash 쉘을 즉시 변경합니다. 그러나 잠재적인 해커는 이제 대체 항목을 갖게 될 수 있습니다.
가능한 한 빨리 이미지를 생성/백업하고 서버를 다시 설치하세요.
신뢰할 수 있는 백업에서 데이터 파일을 복원할 수 있다면 더 좋을 것입니다. 다시 설치하면 루트 취약점이 일시적으로 제거될 수 있지만 악성 웹 셸이 남을 수 있습니다. 초보자 팁으로, 의심스러운 부적절한 루트 setuid 파일을 검색할 수도 있습니다.
모든 시스템을 평가하려면 숙련된 컨설턴트를 고용하는 것이 좋습니다. 이 서버는 인프라의 진입점이 될 수 있습니다.
사용자 권한을 관리하지 않아 엉성한 방식으로 원격이 이뤄질 가능성도 있다. Apache 사용자로부터 루트 권한을 얻은 후 귀하의 웹 사이트 또는 일부 모호한 기능이 알 수 없는 방식으로 실패할 수 있도록 준비하십시오.