我有一个 Debian 8 盒子。它是一个有 90 多个网站的 Plesk 服务器。
似乎有人访问了我的服务器并删除了 root 用户。我转到 /etc/passwd,发现该文件不属于 root:root,而属于 hacker:root,因为 hacker 是可能执行此操作的人的用户名。
我无法在 /etc/passwd 上写入,并且没有 root:x:0:0:root:/root:/bin/bash 行。我有以下行:
黑客:fiMWeeeegx9rM:0:0:pwned:/root:/bin/bash
现在没有 root 进程在运行,所有进程都在服务器中以黑客名义运行。
两个问题:
1.-我想我可以重新启动服务器来更改黑客用户密码,但是我如何撤消更改,恢复 root 密码,并且所有在 hacek 用户名下运行的进程都再次在 root 名下运行?
2.- 仅通过 rsa 密钥和 IP 即可访问服务器。这怎么可能呢?如果我修复了它,以后如何保护该盒子?
谢谢
答案1
问题下方的评论给出了正确的答案:由于您不知道黑客还做了哪些更改,因此最好的选择是从备份重新安装。但是,请注意:入侵者通常会在不被注意的情况下拥有您的服务器,在那里停留数周或数月,为所欲为,并留下可见的痕迹,例如更改/etc/passwd只在他们想被注意时进行更改。在此期间进行的备份可能已被破坏,因此即使从备份重新安装也必须小心谨慎。专业安全专家的良好安全审核是必须的,这是我对您的第二个问题的唯一答案。
附注:进程按用户 ID 运行,而不是按用户名运行。您看到它们列在下面hacker只是因为这是与 中的 uid 0 对应的名称/etc/passwd。如果您可以写入/etc/passwd并改hacker回root该名称,它将立即消失。但话又说回来,这不会消除入侵者可能造成的任何其他损害。
我深表同情。