自建淘宝客网站模板,python微信小程序开发教程,开发网站用什么语言最好吗,网站被植入了js目 录
一、可疑用户是一个安全问题
二、查看Linux用户、新建的用户
#xff08;一#xff09;Linux里查看所有用户的命令
1、直接查看/etc/passwd文件
2、使用getent passwd命令查看
3、字段解释
4、用户信息解释
#xff08;二#xff09;只查看…目 录
一、可疑用户是一个安全问题
二、查看Linux用户、新建的用户
一Linux里查看所有用户的命令
1、直接查看/etc/passwd文件
2、使用getent passwd命令查看
3、字段解释
4、用户信息解释
二只查看用户主要信息
1、只查看用户名
2、只查看用户名、用户ID、用户全名和描述
三Linux里查看普通用户非系统用户
三、系统被入侵并新建用户
四、删除所有新建的用户 一、可疑用户是一个安全问题 当Linux系统被人入侵时攻击者很可能会尝试新建账户来保持对系统的持久访问。通过创建新的用户账户攻击者可以更容易地隐藏他们的活动并在将来重新获得访问权限即使他们的初步入侵行为被检测到并进行了某些清理工作。 特别是我们平常一直基于网络的系统比如视频监控平台、视频会议MCU、融合通信平台等等。网络是这些系统的基础没有网络安全就没有这些应用的安全。 那我们应该如何才能知道是否有人新建了账户或新建用户了呢 二、查看Linux用户、新建的用户 一Linux里查看所有用户的命令
1、直接查看/etc/passwd文件
可以使用/etc/passwd文件来查看这个文件存储了所有用户的信息。
[yunweiecs-52a1 ~]$ cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:65534:65534:Kernel Overflow User:/:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
systemd-coredump:x:999:997:systemd Core Dumper:/:/sbin/nologin
systemd-resolve:x:193:193:systemd Resolver:/:/sbin/nologin
tss:x:59:59:Account used by the trousers package to sandbox the tcsd daemon:/dev/null:/sbin/nologin
polkitd:x:998:996:User for polkitd:/:/sbin/nologin
unbound:x:997:995:Unbound DNS resolver:/etc/unbound:/sbin/nologin
postfix:x:89:89::/var/spool/postfix:/sbin/nologin
sssd:x:996:993:User for sssd:/:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
chrony:x:995:992::/var/lib/chrony:/sbin/nologin
rngd:x:994:991:Random Number Generator Daemon:/var/lib/rngd:/sbin/nologin
tcpdump:x:72:72::/:/sbin/nologin
mysql:x:1000:1000::/home/mysql:/bin/bash
clamav:x:1001:1001::/home/clamav:/bin/bash
vidisit:x:1002:1002::/home/vidisit:/bin/bash
yunwei:x:1003:1003::/home/yunwei:/bin/bash 2、使用getent passwd命令查看
[yunweiecs-52a1 ~]$ getent passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:65534:65534:Kernel Overflow User:/:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
systemd-coredump:x:999:997:systemd Core Dumper:/:/sbin/nologin
systemd-resolve:x:193:193:systemd Resolver:/:/sbin/nologin
tss:x:59:59:Account used by the trousers package to sandbox the tcsd daemon:/dev/null:/sbin/nologin
polkitd:x:998:996:User for polkitd:/:/sbin/nologin
unbound:x:997:995:Unbound DNS resolver:/etc/unbound:/sbin/nologin
postfix:x:89:89::/var/spool/postfix:/sbin/nologin
sssd:x:996:993:User for sssd:/:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
chrony:x:995:992::/var/lib/chrony:/sbin/nologin
rngd:x:994:991:Random Number Generator Daemon:/var/lib/rngd:/sbin/nologin
tcpdump:x:72:72::/:/sbin/nologin
mysql:x:1000:1000::/home/mysql:/bin/bash
clamav:x:1001:1001::/home/clamav:/bin/bash
vidisit:x:1002:1002::/home/vidisit:/bin/bash
yunwei:x:1003:1003::/home/yunwei:/bin/bash 3、字段解释 如上两个命令的结果每一行代表一个用户的账户信息各字段由冒号:分隔。每个字段的解释如下
(1)用户名Username
这是用户的登录名用于在系统中唯一标识用户。例如root是超级用户的用户名。
(2)密码Password
这个字段在早期的Unix系统中直接存储了用户的加密密码但在现代Linux系统中它通常包含一个占位符例如x或用于其他身份验证机制的字符串。实际的加密密码存储在/etc/shadow文件中该文件的访问权限更为严格。
(3)用户IDUser ID, UID
这是一个数字用于在系统中唯一标识用户。超级用户的UID通常是0而系统账户的UID通常在1-999之间。普通用户的UID通常从1000开始并且是唯一的。
(4)组IDGroup ID, GID
这个数字表示用户的主或默认用户组。每个用户都属于至少一个用户组而GID就是该用户组在系统中的唯一标识。
(5)用户全名或描述GECOS
这个字段通常包含用户的全名或其他描述性信息。它可以包含多个由逗号分隔的字符串但这些字符串通常不被系统使用而是为人类阅读者提供信息。
(6)家目录Home Directory
这是用户登录后所处的目录。用户的个人文件和设置通常存储在这个目录下。例如普通用户的家目录可能是/home/username。
(7)默认ShellShell
这个字段指定了用户登录后用于执行命令的程序。例如/bin/bash是Bash shell的路径它是许多Linux系统的默认shell。
4、用户信息解释
如第1、2节中显示的用户信息我们拿出三个
root:x:0:0:root:/root:/bin/bash
daemon:x:2:2:daemon:/sbin:/sbin/nologin
yunwei:x:1003:1003::/home/yunwei:/bin/bash
1第一行root是超级用户UID和GID都是0家目录是/root默认shell是/bin/bash。
2第三行daemon是一个系统用户通常用于运行后台服务它的shell设置为/usr/sbin/nologin表示这个用户不能登录系统。
3最后一行yunwei是一个普通用户UID和GID都是1003家目录是/home/ yunwei默认shell也是/bin/bash
二只查看用户主要信息
1、只查看用户名
方法1 cat /etc/passwd | cut -d: -f1
[yunweiecs-52a1 ~]$ cat /etc/passwd | cut -d: -f1
root
bin
daemon
adm
lp
sync
shutdown 方法2awk -F: { print $1, } /etc/passwd
[yunweiecs-52a1 ~]$ awk -F: { print $1 } /etc/passwd
root
bin
daemon
adm
lp
sync
shutdown 方法3getent passwd | cut -d: -f1
[121yunweiecs-52a1 ~]$ getent passwd | cut -d: -f1
root
bin
daemon
adm
lp
sync
shutdown 2、只查看用户名、用户ID、用户全名和描述 方法1 cat /etc/passwd | cut -d: -f1,3,5
[yunweiecs-52a1 ~]$ cat /etc/passwd | cut -d: -f1,3,5
root:0:root
bin:1:bin
daemon:2:daemon
adm:3:adm
lp:4:lp
sync:5:sync
shutdown:6:shutdown 方法2awk -F: { print $1, $3, $5 } /etc/passwd
[yunweiecs-52a1 ~]$ awk -F: { print $1, $3, $5 } /etc/passwd
root 0 root
bin 1 bin
daemon 2 daemon
adm 3 adm
lp 4 lp
sync 5 sync
shutdown 6 shutdown 三Linux里查看普通用户非系统用户
第三个参数:1000以上的,就是后面建的用户了也就是普通用户其它则为系统的用户.可以使用如下命令: awk -F: $31000{print $1,$3} /etc/passwd
实际操作效果如下
[yunweiecs-52a1 ~]$ awk -F: $31000{print $1,$3} /etc/passwd
nobody 65534
clamav 1001
vidisit 1002
yunwei 1003
[yunweiecs-52a1 ~]$ 三、系统被入侵并新建用户 当Linux系统被人入侵时攻击者很可能会尝试新建账户来保持对系统的持久访问。通过创建新的用户账户攻击者可以更容易地隐藏他们的活动并在将来重新获得访问权限即使他们的初步入侵行为被检测到并进行了某些清理工作。 以下是一些迹象可能表明系统已经被入侵并新建了账户
检查/etc/passwd文件这个文件包含了系统上所有用户的信息。如果你发现有不熟悉的用户名尤其是UID不在系统默认范围内的通常普通用户的UID从1000开始那么这可能是一个被添加的恶意账户。检查/etc/shadow文件这个文件包含了用户的加密密码信息。如果你发现有与/etc/passwd中不匹配的条目或者密码字段看起来不寻常例如非常短的密码哈希或者全为相同字符的哈希那么这可能是入侵者添加的账户。查看用户目录在/home目录下检查是否有不熟悉的用户目录。这些目录可能包含攻击者的工具、脚本或其他恶意文件。检查系统日志检查如/var/log/auth.log取决于发行版日志位置可能有所不同等日志文件以查找任何与账户创建或认证失败相关的可疑条目。使用last和w命令这些命令可以显示最近登录的用户和当前登录的用户。如果你看到不熟悉的用户名那么这可能是入侵者的账户。检查网络连接和进程使用netstat、lsof或ss命令查看当前的网络连接和监听的端口。使用ps命令查看正在运行的进程。如果你发现任何不熟悉或可疑的连接或进程那么系统可能已经被入侵。检查计划任务和服务攻击者可能会添加计划任务例如在/etc/crontab、/etc/cron.*/*或用户的crontab文件中或启动新的服务来保持持久性。检查这些位置以查找任何不寻常的条目。 四、删除所有新建的用户 发现可疑用户若发现单个可以直接userdel命令删掉对应的用户。但是有时候入侵者会建立多个用户混淆我们的思维这里我们有办法删除所有新建的普通用户。需要采用一个脚本代码如下
#!/bin/bash
#先使用 awk 获取所有 uid 大于 1000 的普通用户名称
#再使用 for 循环,用userdel将每个用户删除即可
use r $(awk -F: $31000 {print $1} /etc/passwd)
for i in $user
do
userdel -r $i
done总之如果你发现您的机器出现被入侵的迹象最佳的做法通常是 • 立即断开系统与网络的连接以防止进一步的数据泄露或损害。 • 从已知的干净备份中恢复系统而不是尝试手动清理恶意账户和文件因为攻击者可能已经安装了rootkit或其他隐藏的后门。 • 审查安全策略更新所有软件并强化系统的防御措施以防止未来的攻击。 当然还要看你的系统的具体情况若仅仅是碰到了一个小问题建议还是仔细研究建立好多个安全措施防范于未然。
