저는 Ubuntu 15.04를 사용하고 있는데 오늘 Linux 보안에 관한 기사를 읽었습니다.이것협회.
UID 0 계정 부분까지 모든 것이 순조롭게 진행되었습니다.
루트만 UID 0을 가져야 합니다. 해당 UID를 가진 다른 계정은 종종 백도어와 동의어입니다.
그들이 나에게 준 명령을 실행했을 때 다른 루트 계정이 있다는 것을 발견했습니다. 그 직후 기사처럼 계정을 비활성화했지만 이 계정과 내가 할 수 있는 일이 조금 두렵습니다./etc/passwd
rootk:x:0:500::/:/bin/false
그리고/etc/shadow
rootk:!$6$loVamV9N$TorjQ2i4UATqZs0WUneMGRCDFGgrRA8OoJqoO3CCLzbeQm5eLx.VaJHeVXUgAV7E5hgvDTM4BAe7XonW6xmup1:16795:0:99999:7::1:
다음을 사용하여 이 계정을 삭제하려고 했지만 userdel rootk이 오류가 발생했습니다.
userdel: user rootk is currently used by process 1
프로세스 1이 시스템화되어 있습니다. 누구든지 나에게 조언을 해줄 수 있습니까? 내가해야합니까 userdel -f? 이 계정은 일반 루트 계정인가요?
답변1
프로세스와 파일은 실제로 사용자 이름이 아닌 사용자 ID 번호로 소유됩니다. 동일한 UID를 가지므로 한 사람이 소유한 모든 것은 다른 사람의 소유이기도 합니다 rootk. 귀하의 설명에 따르면 각 루트 프로세스(UID 0)가 소유 사용자로 처리되는 root것처럼 들립니다 .userdelrootk
이에 따르면매뉴얼 페이지, 활성 프로세스가 있는 경우에도 계정을 강제로 삭제하도록 userdel선택할 수 있습니다 . 실제 루트 계정에 영향을 주지 않고 passwd 항목과 홈 디렉터리를 삭제할 수도 있습니다 -f.userdelrootk
rootk보안을 강화하기 위해 비밀번호 파일을 수동으로 편집하여 항목을 제거한 다음 rootk홈 디렉토리를 수동으로 삭제하는 경향이 있습니다 . 텍스트 편집기에서 안전하게 편집할 vipw수 있도록 하는 명령이 시스템에 있을 수 있습니다 ./etc/passwd
답변2
이건 뒷문처럼 생겼어요.
나는 시스템이 손상되어 총격을 당했다고 생각합니다. 사용자가 삭제될 수 있다고 하더라도 컴퓨터에 어떤 흥미로운 놀라움이 남아 있는지 결코 알 수 없습니다(예: 다양한 웹사이트에 대한 사용자 비밀번호를 얻기 위한 키로거).