Dos counts de root, ¿qué hacer?

Estoy en Ubuntu 15.04 y hoy he estado leyendo un artículo sobre security de Linux desde este enlace.

Todo salió bien hasta la parte de UID 0 Account

Solo root debe tener el UID 0. Otra count con ese UID suele ser también backdoor.

Al ejecutar el command que me dieron, descubrí que había otra count raíz. Inmediatamente después deshabilité la count como lo hace el artículo pero tengo miedo de esta count, puedo encontrarlo en /etc/passwd

 rootk:x:0:500::/:/bin/false 

Y en /etc/shadow

 rootk:!$6$loVamV9N$TorjQ2i4UATqZs0WUneMGRCDFGgrRA8OoJqoO3CCLzbeQm5eLx.VaJHeVXUgAV7E5hgvDTM4BAe7XonW6xmup1:16795:0:99999:7::1: 

Traté de eliminar esta count usando userdel rootk pero obtuve este error;

 userdel: user rootk is currently used by process 1 

El process 1 está systemd. ¿Alguien podría darme algún consejo, por favor? ¿Debería userdel -f ? ¿Esta count es una count raíz normal?

Los processs y files en realidad son propiedad de numbers de identificación de usuario, no de nombres de usuario. rootk y root tienen el mismo UID, por lo que todo lo que pertenece a uno también es propiedad del otro. Según su descripción, parece que userdel vio todos los processs raíz (UID 0) como usuarios rootk pertenecientes.

De acuerdo con esta página de userdel , userdel tiene una opción -f para forzar la eliminación de la count incluso si tiene processs activos. Y userdel probablemente borre la input de passwd y el directory de inicio de rootk , sin afectar la count raíz real.

Para estar más seguro, podría inclinarme a editar manualmente el file de contraseña para eliminar la input de rootk y luego eliminar rootk el directory de inicio de rootk . Puede tener un command en su sistema llamado vipw , que le permite editar de forma segura /etc/passwd en un editor de text.

Eso de hecho parece una puerta trasera.

Consideraría que el sistema está comprometido y lo lanzaría desde la órbita, incluso si es posible eliminar al usuario, no tiene idea de qué sorpresas le quedan a la máquina (por ejemplo, un registrador de teclas para get las passwords de los usuarios para varios sitios web).