裏口は作られてない？

裏口(back door)は作られていないだろうか。

裏口と言うのは、

• 普通のユーザーがルートになれるようにしたり、
• 外部から簡単に侵入できるよう故意に作られた

ファイルやサービスなどのことです。

サービスは、inetd.confや、起動時に立ち上がるようになっているデーモン等をよく確かめましょう。
知らないデーモンが、rootの権限で動いているかも知れません。

ファイルによる裏口はsetidで作られることが多い

setidというのは、そのプログラムのuser以外が使ってもuserが使っているのと同様に動かすための設定です。
例えばrootのsetidされているプログラムを使うと、そのプログラムはrootの権限を持って動きます。
つまり、rootにsetidされたプログラムなら、あらゆるファイルを消したり、設定を変えたりできることになります。

rootにsetidされたファイルを探す方法の一例

  find / -user root -perm -4000 -exec ls -la '{}' \;

と言うコマンドで調べて見よう。怪しい、ファイルがあるかも。
たとえ怪しいファイルでなくてもリストアップされますが、rootにsetidされているプログラムは注意が必要です。
また、Tripwireという、侵入者によるファイルの改竄を検出するプログラムを使うと良いかも知れません。