我在我的用户面板中发现了一个陌生人,我不记得我添加过这个用户。
我的用户/etc/passwd如下:
root
daemon
bin
sys
sync
games
man
lp
mail
news
uucp
proxy
www-data
backup
list
irc
gnats
nobody
systemd-timesync
systemd-network
systemd-resolve
systemd-bus-proxy
syslog
_apt
messagebus
uuidd
lightdm
whoopsie
avahi-autoipd
avahi
dnsmasq
colord
speech-dispatcher
hplip
kernoops
pulse
rtkit
saned
usbmux
l0o0
sshd
strongswan
ftp
aftp
mongodb
陌生人亚伦·基利未列在列表中。这是一个严重的问题吗?我该如何删除此用户?
更新
l0o0:x:1000:1000:l0o0,,,:/home/l0o0:/usr/bin/zsh
aftp:x:1002:1002:Aaron Kili, Contributor:/home/aftp:/bin/bash
l0o0是我的默认用户。我谷歌搜索过亚伦·基利,也许我从网上下载了一些软件。
这是我在命令历史记录中发现的。
3749 sudo useradd -m -c "Aaron Kili, Contributor" -s /bin/bash aftp
3750 sudo passwd aftp
3751 echo "aftp" | sudo tee -a /etc/vsftpd.userlist
3757 cd aftp
3768 sudo chmod a-w /home/aftp
答案1
如果您没有添加用户,那么您的系统可能会受到威胁。立即将您的系统从网络上移除,这样您在调查时就不会向攻击者透露更多信息。
删除入侵者的账户是不够的。如果他们有权添加用户,他们就有权安装任何你找不到的后门。
如果您认为您的系统已受到入侵,请完全重新安装并从备份中恢复数据。这正是您需要备份的原因。
如果您从肮脏的互联网上添加了肮脏的软件,并且您没有想到它会添加用户,那么它的行为就像恶意软件一样。将其视为恶意软件并重新安装。