如何删除uid为0的非root用户

quhan · 发表于 2010-10-8 16:01:28

是这样的，我有一台服务器，不幸被人入侵了
系统内多了一个用户，估计是专门用来便于他们登录的
于是我试图删除，但却提示说这个用户正登录
我ps -aux检查了下，没有发现这个用户开启的进程
再次cat /etc/passwd，发现它的uid位置竟然是0
也就是说，他的uid和root相同，root开启的进程当然多了……而且还关不掉
请问，怎么把这个用户干掉

ServerOnly · 发表于 2010-10-8 19:19:06

直接改 /etc/passwd 不行吗？

xep007 · 发表于 2010-10-8 19:48:47

重装吧。改UID没用的。

dogking · 发表于 2010-10-8 23:25:02

直接编辑passwd好group文件，去除那个用户的信息。

quhan · 发表于 2010-10-9 00:58:25

直接改了/etc/passwd，删掉了那行，重启后不能开机了……重装了事

血染枫叶 · 发表于 2010-10-10 21:36:39

刚才实验过。直接用root帐户进去后然后删除帐户就可以解决此列问题。！

ServerOnly · 发表于 2010-10-11 00:22:03

重装系统是懦夫...

quhan · 发表于 2010-10-11 00:31:45

自己机子上重试……

host0:~# userdel quhan
userdel: user quhan is currently logged in

木人 · 发表于 2010-10-11 00:34:13

这样不是行，还必须对所有系统执行文件校验。
没有一个人溜进你系统后不留点后门的。

还是看看你的系统里面有没有后门程序吧。
就比如 login 有被有被替换 shell 程序有没有人加壳。
ssh 守护进程有没被替换tty 有没有被替换，防火墙规则有没有被修改。
反正我觉得修改 Uid 的人只是提升自己权限的一个途径，提升权限后肯定要留后么的。

goodjob66 · 发表于 2010-10-12 13:43:34

还是重装保险，万一人家哪天不高兴了来个 dd if=/dev/zero of=/dev/sda 你就舒服了.

		自动登录	找回密码
密码			注册