Account backdoor nel file passwd

Bene, dalla tua domanda presumo tu sappia cos'è una riga in /etc/passwd , quindi la tua domanda mi sembra un po 'strana. A meno che, naturalmente, tu stia attraversando una sorta di test e non sai davvero come aggirare un sistema unix e cerca di passare facilmente ingannando con noi.

Tuttavia:

Questa è una riga in /etc/passwd che definisce un utente chiamato backdoor , che preferisce la shell bash.

La cattiva notizia è (a parte il fatto che qualcuno completamente stupido o un autore di qualche tipo di test di amministrazione ha utilizzato il nome backdoor per questo utente) che questo account utilizza l'ID utente 0 e l'ID gruppo 0 e la home /root , e tutti e tre dovrebbero essere assolutamente esclusivi di root , il super utente.

Il tuo sistema è stato compromesso.

Dovrai rimuovere il sistema dalla rete, eseguire un'analisi post mortem e rimetterlo da zero, si spera che la vulnerabilità che hai trovato nell'analisi post-mortem abbia consentito di farlo in un primo momento. (Lasciare il sistema attivo e provare a "ripulirlo" è un gioco perdente perché chi sa quali altri rootkit o backdoor hanno piantato).

Anche se il tuo sistema potrebbe essere stato compromesso, vale la pena di considerare un'ipotesi alternativa: che un altro amministratore di sistema abbia inserito deliberatamente questo login backdoor. Potrebbe anche essere stato fatto per uno scopo legittimo (anche se è piuttosto strano se così). Forse qualcuno è stato licenziato di recente? Ci sono tanti modi nascosti per mettere le backdoor (come l'esecuzione di un demone ssh modificato) che questo modo piuttosto ovvio sembri sbagliato.

Modifica: come sottolineato in diversi commenti, ciò rende la situazione potenziale più seria, non meno.