Как удалить взломанную учетную запись на сервере Ubuntu

4

У моего сервера 2 аккаунта взломаны, и теперь, если я попытаюсь удалить их каким-либо образом, через 1 минуту они будут автоматически добавлены с наивысшим разрешением в

visudo NOPASSWORD=ALL

Итак, как я могу узнать, как это сделать, и удалить их навсегда?     

задан user3160078 08.04.2017 в 18:29
источник

2 ответа

1

Извините, но «Только правильный путь» - вывести машину с орбиты .

Если хакеру удалось проникнуть глубоко в вашу систему, вы никогда не узнаете, вытерли ли вы все следы или у них еще есть еще один туз в рукаве, с помощью которого они могут восстановить доступ.

Вы должны попытаться выяснить, как они взломали систему на первом месте, так что вы можете исправить это отверстие безопасности позднее при новой установке, а затем полностью удалить всю систему и установить с нуля. Поэтому лучше всего закрыть сервер и загрузить систему, из которой вы можете клонировать все хранилище. Позже вы можете изучить это изображение в защищенной и заблокированной среде (без доступа к Интернету или вашим бизнес-сетям и т. Д.).

Вы также должны резервировать только столько данных, сколько необходимо, но как можно меньше, потому что каждый файл, который вы копируете, потенциально может быть заражен. Сравнение ваших текущих файлов с данными из старых резервных копий (у вас есть периодические резервные копии, правильно !?) может помочь решить, что вам нужно и что в хорошей форме.

Связанные вопросы на других сайтах Exchange:

ответ дан Byte Commander 08.04.2017 в 18:46
-1
  • Загрузите сеанс. НЕ используйте эту систему.
  • Установите диски
  • Войдите в сеанс терминала и сделайте sudo -i , чтобы перейти к приглашению
  • Сделайте поиск по / с одним из имен этих учетных записей

    grep -rnwl '/' -e "{name}"
    

    , где {name} - это то, что вы хотите найти.

    • r: рекурсивный
    • w: совпадение всего слова
    • l: показывать только имена файлов

Это займет некоторое время, в зависимости от размера диска, чтобы вы могли начать поиск / home / вместо всего диска 1st. Но я сомневаюсь, что это будет файл в / home /

  • пока вы на нем: измените свой пароль администратора с помощью passwd {accountname} .
  • Также перед этим вы также можете проверить /etc/profile , /etc/crontab , crontab -l для странных действий и в вашем / home файле .bashrc для любых действий, которые не должны быть там

Посмотрите, сможете ли вы узнать, что происходит, чтобы вы могли принять меры предосторожности, чтобы это не повторилось. Лучше всего переустановить. Черт возьми, это единственный разумный вариант . Поместите свои личные файлы на USB. Обратите внимание на установленное программное обеспечение, обратите внимание на журналы маршрутизатора и скопируйте все файлы журналов из / var / log, чтобы вы могли проверить вторжения, когда вы снова очистили систему.

Внимательно восстанавливайте свои файлы (убедитесь, что они такие, какими они должны быть, и не выполняйте какие-либо из них, прежде чем вы убедитесь).

Другое дело: создайте резервную копию файла sudo, очистите его и используйте inotify , чтобы немедленно скопировать файл резервной копии поверх измененного. Это затруднит все, что они пытаются сделать с вашей системой.

    
ответ дан Rinzwind 08.04.2017 в 18:42