文章目录
[+]
比如我现在想要登录这台做事器,我就有账号密码,那看一下咱们现在这里有什么账户,只有一个whale Labe,这个账户便是咱们目前登录的,那攻击者新创建一个账户可不可能,那是可以的,比如我现在创建一个叫hack,现在新建了一个账户,现在看不到,那这是第一种看到账户的方法。来看一下第二种,看这里边有两个账户,个中是whale label和hack,hack我实在没有设置密码,这里就不设置了。我给大家说的是这个文件里可以看到所有的账户 Linux是通过读取这个文件找到账户的,以是所有的账户必须在passwd里边。如果打算机多出来的用户,它一定在这里仔细排查这些账户,如果不是公司利用的账户,那么及时和运维职员确认,看一下遍及一下后边的一个小知识。
咱们可以看到后边有一些东西,那这都是做什么的,看bin,这也是咱们最常见的bin/bash,便是咱们的这现在的命令操作这块,它通过这个bash去实行你的命令和脚本,那你登录的时候实在进入实行的程序,其实用户空间就叫做bin。当然还有一些其他的第二个bin files,这个便是不可登录的账户,比如这个账户它虽然存在,但是以这个为后缀的是不能登录的,可以看看最近的登录记录命令为last,看有无可以职员的登录,然后比拟下bin目录下的bash有无被更换,然后再看下sshd的进程有无向外自动连接之类的,如果还是找不到做事器中的木马后门的话可以向网站漏洞修复做事商寻求技能支持。
(图片来自网络侵删)
