Account backdoor nel file passwd

21

Per farla breve, mi stavo assicurando che un'app Web non creava un LFI Vuln tentando di aprire /etc/passwd con esso. Il mio primo tentativo di impedire LFI non ha avuto successo e ho elencato il file, e ho notato questo in fondo:

backdoor:x:0:0::/root:/bin/bash

Che cosa significa questo ed è dannoso? In tal caso, come lo rimuovo.

    
posta CarlosAllende 29.11.2016 - 22:48
fonte

2 risposte

67

Bene, dalla tua domanda presumo tu sappia cos'è una riga in /etc/passwd , quindi la tua domanda mi sembra un po 'strana. A meno che, naturalmente, tu stia attraversando una sorta di test e non sai davvero come aggirare un sistema unix e cerca di passare facilmente ingannando con noi.

Tuttavia:

Questa è una riga in /etc/passwd che definisce un utente chiamato backdoor , che preferisce la shell bash.

La cattiva notizia è (a parte il fatto che qualcuno completamente stupido o un autore di qualche tipo di test di amministrazione ha utilizzato il nome backdoor per questo utente) che questo account utilizza l'ID utente 0 e l'ID gruppo 0 e la home /root , e tutti e tre dovrebbero essere assolutamente esclusivi di root , il super utente.

Il tuo sistema è stato compromesso.

Dovrai rimuovere il sistema dalla rete, eseguire un'analisi post mortem e rimetterlo da zero, si spera che la vulnerabilità che hai trovato nell'analisi post-mortem abbia consentito di farlo in un primo momento. (Lasciare il sistema attivo e provare a "ripulirlo" è un gioco perdente perché chi sa quali altri rootkit o backdoor hanno piantato).

    
risposta data 29.11.2016 - 22:53
fonte
0

Anche se il tuo sistema potrebbe essere stato compromesso, vale la pena di considerare un'ipotesi alternativa: che un altro amministratore di sistema abbia inserito deliberatamente questo login backdoor. Potrebbe anche essere stato fatto per uno scopo legittimo (anche se è piuttosto strano se così). Forse qualcuno è stato licenziato di recente? Ci sono tanti modi nascosti per mettere le backdoor (come l'esecuzione di un demone ssh modificato) che questo modo piuttosto ovvio sembri sbagliato.

Modifica: come sottolineato in diversi commenti, ciò rende la situazione potenziale più seria, non meno.

    
risposta data 30.11.2016 - 21:44
fonte

Leggi altre domande sui tag