如何实战排查etcpasswd中Root权限账户的恶意篡改副本?
- 内容介绍
- 相关推荐
本文共计761个文字,预计阅读时间需要4分钟。
直接查询UID为0的账户,是识别root权限副本的最有效、最不可逾越的方式。除非是root本身,其他任何UID为0的用户都属于高风险异常。
快速定位所有 UID=0 账户
执行这条命令:
awk -F: '$3==0 {print $1}' /etc/passwd正常输出应只有 root。如果出现 admin、backup、sysadm 或任何其他用户名,就是被植入的 root 权限副本。
注意:不要只看用户名是否“像管理员”,关键看第三字段(UID)是否等于 0 —— 这是系统判定超级权限的唯一依据。
本文共计761个文字,预计阅读时间需要4分钟。
直接查询UID为0的账户,是识别root权限副本的最有效、最不可逾越的方式。除非是root本身,其他任何UID为0的用户都属于高风险异常。
快速定位所有 UID=0 账户
执行这条命令:
awk -F: '$3==0 {print $1}' /etc/passwd正常输出应只有 root。如果出现 admin、backup、sysadm 或任何其他用户名,就是被植入的 root 权限副本。
注意:不要只看用户名是否“像管理员”,关键看第三字段(UID)是否等于 0 —— 这是系统判定超级权限的唯一依据。