我们的一些 Linux 服务器受到了攻击,我们需要查找是否有新用户添加到操作系统,我检查了一下,/etc/passwd似乎没有什么奇怪的,但它没有显示每个用户何时添加到系统中
如何在 Linux 服务器上找到最后的用户及其添加日期?
答案1
如果您没有可追溯到感染日期的日志(如果您知道的话),那么除了检查所有用户主文件夹上的日期外,您无能为力。如果病毒在感染期间不断使用其主文件夹,这将无济于事。
您还可以检查所有用户帐户,看是否有未知的帐户,并将其删除。
但即使找到新的用户帐户也无法解决您的问题或完全清除计算机上的病毒。我的建议是彻底清除该服务器并从新服务器重建。如果您有感染之前的服务器映像(如果您知道的话),那么您可以返回该映像并将其用作起点。
如果需要,保存所有合法用户数据,但不要保存可能受到损害的可执行文件。