刚刚在我的 shell 历史记录中发现了这些命令。我不记得输入过它们,也不知道它们的作用。好吧,我知道它们是什么,more能做什么netstat,但我无法解析其他命令。
它们看起来合法吗?还是我应该担心?
more /etc/passwd
cut -d: -f1,3 /etc/passwd | egrep ':[0-9]{4}$' | cut -d: -f1
awk -F: '$3 >= 1000 && $1 != "nobody" {print $1}' /etc/passwd
netstat
find /etc /var -mtime -2
du -h / | grep '[0-9\.]\+G'^C
我最好的猜测是有人正在寻找 passwd 文件 - 我没有看到任何新用户被添加 - 但我不确定!
答案1
这些本身都无害,但有些可能提供可在以后的攻击中使用的信息……或者只是满足某人无害的好奇心。
more /etc/passwd查看密码文件。
cut ...和分别显示具有 4 位UIDawk或 UID >= 1000 的用户列表。
netstat显示打开的网络连接和 UNIX 域套接字。
正在find .../etc 和 /var 中查找 2 天以内的文件。
正在du ...寻找包含超过 1GB 数据的目录。