LinuxSir.cn,穿越时空的Linuxsir!

 找回密码
 注册
搜索
热搜: shell linux mysql
查看: 1641|回复: 10

如何删除uid为0的非root用户

[复制链接]
发表于 2010-10-8 16:01:28 | 显示全部楼层 |阅读模式
是这样的,我有一台服务器,不幸被人入侵了
系统内多了一个用户,估计是专门用来便于他们登录的
于是我试图删除,但却提示说这个用户正登录
我ps -aux检查了下,没有发现这个用户开启的进程
再次cat /etc/passwd,发现它的uid位置竟然是0
也就是说,他的uid和root相同,root开启的进程当然多了……而且还关不掉
请问,怎么把这个用户干掉
发表于 2010-10-8 19:19:06 | 显示全部楼层
直接改 /etc/passwd 不行吗?
回复 支持 反对

使用道具 举报

发表于 2010-10-8 19:48:47 | 显示全部楼层
重装吧。改UID没用的。
回复 支持 反对

使用道具 举报

发表于 2010-10-8 23:25:02 | 显示全部楼层
直接编辑passwd好group文件,去除那个用户的信息。
回复 支持 反对

使用道具 举报

 楼主| 发表于 2010-10-9 00:58:25 | 显示全部楼层
直接改了/etc/passwd,删掉了那行,重启后不能开机了……重装了事
回复 支持 反对

使用道具 举报

发表于 2010-10-10 21:36:39 | 显示全部楼层
刚才实验过。直接用root帐户进去后然后删除帐户就可以解决此列问题。!
回复 支持 反对

使用道具 举报

发表于 2010-10-11 00:22:03 | 显示全部楼层
重装系统是懦夫...
回复 支持 反对

使用道具 举报

 楼主| 发表于 2010-10-11 00:31:45 | 显示全部楼层
自己机子上重试……

host0:~# userdel quhan
userdel: user quhan is currently logged in
回复 支持 反对

使用道具 举报

发表于 2010-10-11 00:34:13 | 显示全部楼层
这样不是行,还必须对所有系统执行文件校验。
没有一个人溜进你系统后不留点后门的。

还是看看你的系统里面有没有后门程序吧。
就比如 login 有被有被替换 shell 程序有没有人加壳。
ssh 守护进程有没被替换tty 有没有被替换,防火墙规则有没有被修改。
反正我觉得 修改 Uid 的人只是提升自己权限的一个途径, 提升权限后肯定要留后么的。
回复 支持 反对

使用道具 举报

发表于 2010-10-12 13:43:34 | 显示全部楼层
还是重装保险, 万一人家哪天不高兴了来个 dd if=/dev/zero of=/dev/sda 你就舒服了.
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表