Как сказать, является ли строка в/etc/passwd злонамеренным пользователем
Когда я перехожу к/etc/passwd, как я знаю, не должен ли пользователь быть там? Существует много случайных пользователей со странными именами как "игры" "sys" и т.д., я знаю, что идентификатор под 1 000 скрыт, но приблизительно 70% пользователей похожи на это...
1 ответ
С технической точки зрения нет никакого стандартного способа определить имя пользователя, как являющееся malicious/non-malicious. Существуют пользователи определенного стандарта такой как nobody, daemon, и whoopsie, таким образом, можно безопасно исключить их. Я рекомендовал бы создать новую установку в VirtualBox и взять пик в /etc/passwd или спросил бы друга, у которого есть относительно неизменная система.
имя пользователя, которое Вы подняли в комментариях, toor, часто используется для создания пользователя корневого уровня с дополнительными полномочиями при отъезде другого счета на регулярное использование. Судя форму Ваши комментарии, Вы не создали это, и мы не знаем, подержана ли эта машина или нет. Если это было подержано, довольно возможно, что это было создано предыдущим владельцем. Иначе Вы могли бы быть правы в подозрении проникновения в Вашу систему.
Отбивание проникновения может быть несколько хитрым. Самый простой и самый эффективный подход к файлам резервных копий, и переустановите ОС. Исследование соединений и какие files/daemons/cronjobs были поставлены под угрозу, может быть трудоемким.