我已经拿到了这台运行 cpanel/whm 的服务器,在我们迁移到 AWS 之前,该服务器仍将在生产中运行六个月左右。让我烦恼的一件事是,当我 ssh 登录时,我使用 root 帐户,但一旦我进行身份验证,我有时会以 apache_user 身份登录。在查看 /etc/passwd 时,我在文件中找到了这两行。
root:x:0:0:root:/root:/bin/bash
*...stuff...*
apache_user:x:0:0::/home/apache_user:/bin/bash
“嗯,这不好,而且很奇怪,”我对自己说。
我可以继续将 apache_user 的用户和组 ID 更改为其他内容吗?
答案1
重点是 Apache 用户曾是更改为以 root 身份运行。这种设置很危险,并且允许微不足道的黑客攻击轻松升级为 root。
我会与以前的系统管理员交谈,至少让他们放心,这不是上次攻击留下的后门,而只是一个错误。
我还会仔细阅读旧备份来调查 Apache 用户拥有该 ID 的时间。
无论有没有错误,机器已经受到损害的可能性相当高。 (几次?)
流氓系统管理员或攻击者留下 id 0 的用户也是相当常见的。id 0 为任何用户提供 root 权限。
我不会等待任何迁移;游戏进行到这里,问题不在于更改用户 ID。
我会立即更改 apache_user 的 id、密码(如果有)以及该用户的 /bin/nologin 的 bash shell。然而,可能的黑客现在可能已经有了替代条目。
对其进行映像/备份,并尽快重新安装该服务器。
如果您可以从受信任的备份中恢复数据文件那就更好了。重新安装可能会暂时消除 root 漏洞,但可能会留下恶意 Web shell。作为初学者提示,还可以搜索不合适的可疑 root setuid 文件。
考虑聘请经验丰富的顾问来评估您的所有系统。该服务器可能是您的基础结构的入口点。
还有一种远程可能是由于不管理用户权限而以草率的方式完成的。为您的网站或一些晦涩的功能在从 apache 用户获取 root 权限后以神秘的方式失败做好准备。