1

Недавно я столкнулся с очень странным явлением в одной системе, которую я использую. Без видимой причины моя учетная запись была удалена, хотя домашний каталог все еще там.

У меня есть root-доступ, поэтому я могу восстановить учетную запись, но сначала я хочу знать, как это произошло и когда именно. Проверка файла root .bash_history и "последней" команды ничего не дала, и я (ну, был) был единственным sudoer в системе.

Как я узнаю, когда произошло это удаление?

Дистрибутив CentOS версии 5.4 (Final), если это поможет.

|источник

2 ответа2

2

Это действительно зависит от того, как оно было удалено и по отношению к другим пользователям, но вот несколько методов, которые вы можете попробовать:

  • Посмотрите, есть ли ваш пользователь в списке passwd. Если это не так, то посмотрите, находится ли он в файле с именем passwd-, который является резервной копией из passwd. Если его там, то временная метка этого старого файла, вероятно, будет указывать, когда была удалена учетная запись.
  • Возможно, что удаление находится в корневом каталоге или в файле .bash_history какого-то пользователя, и вы можете из контекста сказать, когда это произошло
  • Если это было сделано с помощью sudo или чего-то еще, то это может быть в /var /log /messages

Это все, что я могу думать прямо сейчас. Вероятно, несколько других методов.

|источник
0

Если вы единственный sudoer и единственный, у кого есть законный доступ к root, то ваш сервер был, по всей вероятности, взломан. Многие (менее опытные) взломщики будут удалять или отключать корневые учетные записи, чтобы предотвратить противодействие. Сделайте резервную копию ваших данных и переустановите, или, если вы можете провести аудит безопасности и найти дыру, которую использовал взломщик, сделайте это.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .