我正在运行一个很久以前就忘了的 VPS。它仍然运行着 Ubuntu 18。我今天登录时发现服务器显然被黑客入侵了,它正在运行一个加密货币挖矿程序之类的东西。
所以我修改了密码,用 2fa 强化了 SSH,升级到了 ubuntu 22,删除了挖矿服务,运行了不同的恶意软件检测软件
有一个用户的 uid 为 0
$ cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
...
intell:x:0:0::/root:/bin/bash
当我尝试删除它时,我收到警告,我将删除 root 用户
$ deluser intell
WARNING: You are just about to delete the root account (uid 0)
Usually this is never required as it may render the whole system unusable
If you really want this, call deluser with parameter --force
Stopping now without having performed any action
呃。好吧,那我们试着更改 UID 吧
$ usermod -u 2005 intell
usermod: user intell is currently used by process 1
嗯,那也不起作用。
没有主目录
那么我现在该怎么做?只需将其从/etc/passwd和中删除即可/etc/shadow?
答案1
首先,设置sudoedit:
在您的 中~/.bashrc添加:
export EDITOR=$(type -p editor_of_choice)
export VISUAL=$(type -p editor_of_choice)
然后source ~/.bashrc。
这样就完成了sudoedit设置。
sudoedit /etc/{passwd,shadow}并仅删除intell行。您不想删除~intell的主目录,而是/root。但是:
额外的 UID 0 用户 ID 只是“被黑客入侵”的一个迹象。还有大约一百万个其他问题需要检查/修复。备份用户数据并重新安装系统会更简单。