Как удалить взломанную учетную запись на сервере Ubuntu
Мой сервер имеет 2 учетных записи, взламываются и теперь если я буду судить к удаленному их каким-либо путем после той 1 минуты, то они будут повторно добавлены автоматически с самым высоким разрешением в
visudo NOPASSWORD=ALL
Таким образом, как я могу узнать, что корневой код делает это и удаляет их навсегда?
2 ответа
- Загружают живую сессию. Не используйте саму систему.
- Монтируют, что диски
- Входят в систему терминального сеанса и делают
sudo -iдля получения до подсказки -
, Переделывают поиск / с 1 из названий тех учетных записей
grep -rnwl '/' -e "{name}", где {имя} - то, что Вы хотите найти.
- r: рекурсивный
- w: соответствуйте целому Word
- l: только покажите имена файлов
, Это будет требовать времени в зависимости от размера диска, таким образом, Вы могли начать искать/home/вместо целого 1-го диска. Но я сомневаюсь, что это будет файл в / домой /
- , в то время как Вы в нем: измените свой пароль администратора с
passwd {accountname}.
- Также, прежде чем Вы сделаете это, можно также проверить
/etc/profile,/etc/crontab,crontab -lдля странных действий и в / размещают файл.bashrcдля любого действия, которое не должно быть там
, Видят, можно ли узнать то, что происходит так, можно принять меры предосторожности так, этого не может произойти снова. Лучше переустанавливать все же. Heck это - единственная нормальная опция , Помещают Ваши персональные файлы на USB. Сделайте примечание к программному обеспечению, которое Вы установили, сделайте примечание к журналам маршрутизатора и скопируйте все файлы журналов с/var/log, таким образом, можно проверить на проникновения, когда Вы получили свою систему, чистую снова.
Тщательно восстанавливают Ваши файлы (удостоверьтесь, что они - то, что они должны быть и не выполняют ни одного из них, прежде чем Вы будете уверены).
<час>Другая вещь сделать: создайте резервное копирование sudo файла, уберите его и используйте inotify для непосредственного копирования файла резервной копии по измененному. Это будет препятствовать тому, что они пытаются сделать с Вашей системой.
К сожалению, но Единственный Правильный Way™ для движения должен уничтожить машину с орбиты.
Если хакеру удалось получить это глубоко в Вашу систему, Вы никогда не можете знать, вытерли ли Вы все трассировки или получили ли они все еще другой туз рукав, с которым они могут возвратить доступ.
Необходимо попытаться заняться расследованиями, как они взломали систему в первом месте, так, чтобы можно было исправить ту дыру в системе безопасности позже новая установка и затем полностью стереть целую систему и установку с нуля. Поэтому это - лучшая идея завершить работу сервера и загрузить живую систему, от которой можно клонировать все устройство хранения данных. Позже можно затем исследовать то изображение в защищенном и заблокированном вниз среда (никакой доступ к Интернету или бизнес-сетям, и т.д.).
Необходимо также создать резервную копию только такого же количества данных по мере необходимости, но как можно меньше, потому что каждый файл Вы копируете, могло потенциально быть заражено. Сравнение текущих файлов данных с теми, которые от более старых резервных копий (у Вас действительно есть периодические резервные копии, право!?) мог бы помочь решить то, в чем Вы нуждаетесь и что в хорошем состоянии.
Связанные вопросы на других сайтах Exchange Стека: