web-dev-qa-db-ja.com

passwdファイルのバックドアアカウント

簡単に言うと、/etc/passwdを使用してWebアプリケーションを開こうとすることで、WebアプリがLFIの脆弱性を作成しないようにしていました。 LFIを防ぐための私の最初の試みは失敗し、ファイルをリストアップしました、そして私はこれが一番下に気づきました:

backdoor:x:0:0::/root:/bin/bash

これはどういう意味ですか、それは悪意がありますか?もしそうなら、私はそれをどのように削除しますか?.

21
CarlosAllende

さて、あなたの質問から、私はあなたが/etc/passwdの行が何であるかを知っていると想定しているので、あなたの質問は少し奇妙な印象を受けます。もちろん、あなたが何らかのテストを行っていて、UNIXシステムの周りの方法を本当に知らず、私たちと一緒に不正行為をすることで簡単に合格しようとしない限り、.

しかしながら:

これは、backdoorというユーザーを定義する/etc/passwdの行で、bashシェルを優先します。

悪い知らせは、このアカウントがユーザーID 0とグループID 0、およびホーム/rootを使用していることです(まったく愚かな誰かまたはある種の管理テストの作成者がbackdoorという名前をこのユーザーに使用したという事実は別として)。 、およびこれらの3つすべては、スーパーユーザーであるrootに対して完全に排他的である必要があります。

システムが危険にさらされています。

システムをネットワークから削除し、事後分析を実行し、最初からセットアップし直す必要があります。うまくいけば、最初にこれを可能にした事後分析で見つかった脆弱性を閉じます。 (システムをそのままにして「クリーンアップ」しようとするのは、他のルートキットやバックドアが植えられていることを誰が知っているかというと、負けたゲームです。).

66
Marcus Müller

システムが危険にさらされている可能性は十分にありますが、別のシステム管理者が故意にこのバックドアログインを配置したという別の仮説を検討することは価値があります。正当な目的のために行われたことさえあるかもしれません(そうであればかなり奇妙ですが)。たぶん、最近誰かが解雇されましたか?バックドアを配置する隠された方法(変更されたsshデーモンの実行など)は非常に多くあるため、この明白な方法は間違っているように見えます。

編集:いくつかのコメントで指摘されているように、これは潜在的な状況をより深刻ではなく、より深刻にします。

0
James Brusey