簡単に言うと、/etc/passwd
を使用してWebアプリケーションを開こうとすることで、WebアプリがLFIの脆弱性を作成しないようにしていました。 LFIを防ぐための私の最初の試みは失敗し、ファイルをリストアップしました、そして私はこれが一番下に気づきました:
backdoor:x:0:0::/root:/bin/bash
これはどういう意味ですか、それは悪意がありますか?もしそうなら、私はそれをどのように削除しますか?.
さて、あなたの質問から、私はあなたが/etc/passwd
の行が何であるかを知っていると想定しているので、あなたの質問は少し奇妙な印象を受けます。もちろん、あなたが何らかのテストを行っていて、UNIXシステムの周りの方法を本当に知らず、私たちと一緒に不正行為をすることで簡単に合格しようとしない限り、.
しかしながら:
これは、backdoor
というユーザーを定義する/etc/passwd
の行で、bashシェルを優先します。
悪い知らせは、このアカウントがユーザーID 0とグループID 0、およびホーム/root
を使用していることです(まったく愚かな誰かまたはある種の管理テストの作成者がbackdoor
という名前をこのユーザーに使用したという事実は別として)。 、およびこれらの3つすべては、スーパーユーザーであるroot
に対して完全に排他的である必要があります。
システムが危険にさらされています。
システムをネットワークから削除し、事後分析を実行し、最初からセットアップし直す必要があります。うまくいけば、最初にこれを可能にした事後分析で見つかった脆弱性を閉じます。 (システムをそのままにして「クリーンアップ」しようとするのは、他のルートキットやバックドアが植えられていることを誰が知っているかというと、負けたゲームです。).
システムが危険にさらされている可能性は十分にありますが、別のシステム管理者が故意にこのバックドアログインを配置したという別の仮説を検討することは価値があります。正当な目的のために行われたことさえあるかもしれません(そうであればかなり奇妙ですが)。たぶん、最近誰かが解雇されましたか?バックドアを配置する隠された方法(変更されたsshデーモンの実行など)は非常に多くあるため、この明白な方法は間違っているように見えます。
編集:いくつかのコメントで指摘されているように、これは潜在的な状況をより深刻ではなく、より深刻にします。