如何判断 /etc/passwd 中的某一行是否来自恶意用户

如何判断 /etc/passwd 中的某一行是否来自恶意用户

当我进入 /etc/passwd 时,我如何知道某个用户不应该在那里?有很多随机用户,他们的名字很奇怪,比如“games”、“sys”等等。我知道 1000 以下的 ID 是隐藏的,但大约 70% 的用户都是这样的……

答案1

从技术上讲,没有标准方法来识别用户名是恶意的还是非恶意的。有某些标准用户,例如nobodydaemonwhoopsie,因此您可以安全地排除这些用户。我建议在 VirtualBox 中创建一个新的安装并查看一下,/etc/passwd或者询问系统相对未发生改变的朋友。

您在评论中提到的用户名toor,经常用于创建具有额外权限的根级用户,同时保留另一个帐户供常规使用。从您的评论来看,您没有创建该用户名,我们不知道这台机器是否是二手的。如果是二手的,很可能是由前任所有者创建的。否则,您可能怀疑您的系统遭到入侵。

抵御入侵可能有些棘手。最简单、最有效的方法是备份文件并重新安装操作系统。调查连接以及哪些文件/守护程序/cronjobs 已被入侵可能非常耗时。

相关内容