Neuer Benutzer "secteam" mit Rootrechten

Rund um die Sicherheit des Systems und die Applikationen
stefan_w
Posts: 48
Joined: 2002-11-09 09:32

Neuer Benutzer "secteam" mit Rootrechten

Post by stefan_w » 2003-08-15 10:23

Hallo

Bei einer kontrolle meines Debian-Servers (mit Confixx) ist mir aufgefallen, das ein neuer User eingerichtet ist. Sein Name ist secteam mit Rootrechten und /bin/bash-Shell. Er hat ebenfalls das Rootverzeichnis als homedir.
Ich habe ihm erstmal /bin/false gegeben, solange ich nicht weiss, was das ist. Könnte es was von Confixx sein?

cfreak
Posts: 74
Joined: 2002-08-12 19:51
Location: Regensburg

Re: Neuer Benutzer "secteam" mit Rootrechten

Post by cfreak » 2003-08-15 10:45

wie meinst du der user hat rootrechte?

ist er in der gruppe 0 also root?

secteam sagt mir nichts,
an deiner stelle würde ich mal die passwd-datei durchschauen ob es da noch andere user gibt, und sonstnoch ob irgendwelche programme laufen die da nicht hin gehören (ftp-server z.b.)

edit:
gerade google befragt:
Secteam. The MandrakeSoft "secteam" is a team of volunteers who help to test
and work on security updates before they are passed on to QA for testing. ...

stefan_w
Posts: 48
Joined: 2002-11-09 09:32

Re: Neuer Benutzer "secteam" mit Rootrechten

Post by stefan_w » 2003-08-15 11:35

cfreak202 wrote:wie meinst du der user hat rootrechte?

ist er in der gruppe 0 also root?
So ist es...
cfreak202 wrote: secteam sagt mir nichts,
an deiner stelle würde ich mal die passwd-datei durchschauen ob es da noch andere user gibt, und sonstnoch ob irgendwelche programme laufen die da nicht hin gehören (ftp-server z.b.)

Ok, wird gemacht.
edit:
gerade google befragt:
Secteam. The MandrakeSoft "secteam" is a team of volunteers who help to test
and work on security updates before they are passed on to QA for testing. ...
Aber was machen die auf meinem Server? löl...

Edit: Scheint der einzige mit Rootrechten zu sein (außer Root selber ;) ).

Sehr dubios. Was ich ebenfalls festgestellt habe: Mein Webalizer zeigt bei der Auswertung im Header http://www.mesos.de an. Langsam wirds aber unheimlich.

gamecrash
Posts: 339
Joined: 2002-05-27 10:52

Re: Neuer Benutzer "secteam" mit Rootrechten

Post by gamecrash » 2003-08-16 10:30

Ein Mandrake-Team auf nem Debian-Server? Halte ich für unwahrscheinlich... find jetzt aber auch bei Google nix passendes...

Lass vielleicht mal n chrootkit drüberlaufen...