如何查明 Linux 中某个特定用户被何时删除以及被谁删除?

如何查明 Linux 中某个特定用户被何时删除以及被谁删除?

最近,我在使用的一个系统上遇到了一件非常奇怪的事情。我的用户帐户毫无缘由地被删除了,但主目录仍然存在。

我有 root 权限,因此我可以恢复帐户,但首先,我想知道这是怎么发生的,以及具体时间。检查 root 的 .bash_history 文件和“last”命令没有得到任何结果,而且我是(好吧,曾经是)系统上唯一的 sudoer。

我如何知道删除操作何时发生?

如果有帮助的话,发行版是 CentOS 版本 5.4 (最终版)。

答案1

如果您是唯一的 sudo 使用者,也是唯一拥有 root 权限的人,那么您的服务器很可能已被破解。许多(技术较差的)破解者会删除或禁用 root 帐户以防止反击。备份您的数据并重新安装,或者如果您能够进行安全审核并找到破解者使用的漏洞,请这样做。

答案2

这实际上取决于删除方式以及与其他用户的关系,但您可以尝试以下几种技巧:

  • 查看您的用户是否仍在 passwd 中。如果没有,则查看其是否在名为 passwd- 的文件中,该文件是 passwd 的备份。如果在该文件中,则该旧文件上的时间戳可能表明该帐户何时被删除。
  • 删除操作可能发生在 root 或某个用户​​的 .bash_history 文件中,你也许能够从那里的上下文中知道删除操作发生的时间
  • 如果是通过 sudo 或其他方式完成的,那么它可能在 /var/log/messages 中

我现在能想到的就这么多。可能还有其他一些技巧。

相关内容