このサーバーはcpanel / whmを実行しており、AWSに移動するまで約6ヶ月間本番環境で実行され続けます。 1つの迷惑な点は、sshにアクセスするときにrootアカウントを使用しますが、一度認証するとapache_userとしてログインすることがあります。 /etc/passwdを見ると、ファイルに次の2行が見つかりました。
root:x:0:0:root:/root:/bin/bash
*...stuff...*
apache_user:x:0:0::/home/apache_user:/bin/bash
「まあ、それは良くなく変です」私は中に呟いた。
apache_userのユーザーとグループIDを別のものに変更できますか?
ベストアンサー1
Apacheユーザーに焦点を当てています。以前はrootとして実行するように変更します。この設定は危険で、マイナーなハッキングを簡単にルートに拡大できます。
私は以前のシステム管理者に、これが最後の攻撃で残されたバックドアではなく、バグだけであることを少なくとも確信させました。
また、ApacheユーザーがそのIDをどのくらいの期間保持しているかを調べるために、以前のバックアップを管理しました。
バグがあるかどうかにかかわらず、システムが破損している可能性はかなり高いです。 (何回?)
悪意のあるシステム管理者または攻撃者がID 0を持つユーザーを残すことも非常に一般的です。 ID 0 は、すべてのユーザーに root 権限を提供します。
ゲームのこの時点での問題は、ユーザーIDを変更することではありません。
apache_userのID、パスワード(存在する場合)、およびそのユーザーの/ bin / nologinのbashシェルをすぐに変更します。ただし、潜在的なハッカーは代替アイテムを持つことができます。
できるだけ早くイメージを作成/バックアップし、サーバーを再インストールしてください。
信頼できるバックアップからデータファイルを復元できる場合は、より良いでしょう。再インストールすると、ルートの脆弱性が一時的に削除される可能性がありますが、悪意のあるWebシェルが残る可能性があります。初心者のヒントとして、不審な不適切なルートsetuidファイルを検索することもできます。
すべてのシステムを評価するには、経験豊富なコンサルタントを雇うことをお勧めします。このサーバーはインフラストラクチャのエントリポイントになることができます。
ユーザー権限を管理しないため、複雑な方法でリモートが行われる可能性もある。 Apacheユーザーからroot権限を取得したら、Webサイトまたは一部のあいまいな機能が不明な方法で失敗するように準備してください。