Cuenta de puerta trasera en el archivo de contraseña

21

En pocas palabras, me estaba asegurando de que una aplicación web no creara un LFI vuln al intentar abrir /etc/passwd con ella. Mi primer intento de prevenir el LFI fue infructuoso y enlisté el archivo, y noté esto al final:

backdoor:x:0:0::/root:/bin/bash

¿Qué significa esto? ¿Es malicioso? Si es así, ¿cómo lo elimino?

    
pregunta CarlosAllende 29.11.2016 - 22:48
fuente

2 respuestas

67

Bueno, a partir de tu pregunta, asumo que sabes qué es una línea en /etc/passwd , por lo que tu pregunta me parece un poco extraña. Por supuesto, a menos que esté pasando por algún tipo de prueba y no sepa realmente cómo manejar un sistema Unix y trate de pasarlo fácilmente haciendo trampa con nosotros.

Sin embargo:

Esa es una línea en /etc/passwd que define a un usuario llamado backdoor , que prefiere el shell bash.

La mala noticia es (aparte del hecho de que alguien completamente estúpido o un autor de algún tipo de prueba de administración usó el nombre backdoor para este usuario) que esta cuenta usa el ID de usuario 0 y el ID de grupo 0, y el hogar /root , y los tres deben ser absolutamente exclusivos de root , el superusuario.

Su sistema ha sido comprometido.

Deberá eliminar el sistema de la red, hacer un análisis postmortem y configurarlo de nuevo desde cero, con suerte, cerrando la vulnerabilidad que encontró en su análisis postmortem que les permitió hacerlo en primer lugar. (Dejar el sistema y tratar de "limpiarlo" es un juego perdido porque quién sabe qué otros rootkits o puertas traseras han plantado).

    
respondido por el Marcus Müller 29.11.2016 - 22:53
fuente
0

Aunque su sistema puede haber sido comprometido, vale la pena considerar una hipótesis alternativa: que otro administrador del sistema haya colocado este inicio de sesión de puerta trasera deliberadamente. Incluso se puede haber hecho con un propósito legítimo (aunque es bastante extraño si es así). Tal vez alguien fue despedido recientemente? Hay tantas formas ocultas de instalar puertas traseras (como ejecutar un demonio ssh modificado) que esta forma bastante obvia parece incorrecta.

Editar: como se señaló en varios comentarios, esto hace que la situación potencial sea más grave, no menos.

    
respondido por el James Brusey 30.11.2016 - 21:44
fuente

Lea otras preguntas en las etiquetas