我正在检查我的/etc/passwd,这时我注意到一个用户叫backup1。引起我注意的是末尾的数字 1。这样可以吗?我如何知道这个用户是否被入侵?
我使用 ubuntu 12.04
谢谢
编辑:
这是/etc/passwd对应的行backup1:
backup1:x:0:1006::/home/backup1:/bin/sh
这是/etc/shadow
backup1:$6$ETiP/5u7$p7t.GYWhI7ocUrfBxPmSrUW4YFuU.UC0jpBqgycAAf31j91m8FzurWX67dU3NuWhX4fv4sr6WnGJitMD9wgKb1:15761:0:99999:7:::
但用户backup(没有1)也有一个密码/etc/shadow。
答案1
我无法立即识别该用户名,但这并不一定意味着什么(因为这不是我的系统)。
用户的 uid 是什么?通常,任何介于 100 和 999 之间的 uid 都是由系统上安装的软件包动态创建的。您可以搜索软件包 postinst 脚本以查找可能创建了它的软件包: $ fgrep backup1 /var/lib/dpkg/info/*.postinst。用户在 /etc/shadow 中是否有密码?帐户是否被锁定?用户的默认 shell 是什么?
后续补充信息:
uid 为 1006 的帐户是“普通”登录帐户,而不是系统帐户。此外,由于用户在 /home 中有一个主目录、一个登录 shell 和一个密码,所有这些都表明该帐户是由以adduserroot 身份运行的人创建的。该帐户未被锁定。锁定的帐户在密码哈希前会有一个“!”。您可以通过运行 来锁定帐户passwd -l backup1。
创建该帐户的潜在来源包括:
- 其他系统管理员
- 非来自 Ubuntu 官方存储库的第三方软件安装程序或软件包
您还可以使用lastlog命令查看该帐户上次登录的时间。