如何实战排查etcpasswd中Root权限账户的恶意篡改副本?

2026-05-07 22:461阅读0评论SEO资源
  • 内容介绍
  • 相关推荐

本文共计761个文字,预计阅读时间需要4分钟。

如何实战排查/etc/passwd中Root权限账户的恶意篡改副本?

直接查询UID为0的账户,是识别root权限副本的最有效、最不可逾越的方式。除非是root本身,其他任何UID为0的用户都属于高风险异常。

快速定位所有 UID=0 账户

执行这条命令:

awk -F: '$3==0 {print $1}' /etc/passwd

正常输出应只有 root。如果出现 adminbackupsysadm 或任何其他用户名,就是被植入的 root 权限副本。

注意:不要只看用户名是否“像管理员”,关键看第三字段(UID)是否等于 0 —— 这是系统判定超级权限的唯一依据。

验证该账户是否真实可用

一个 UID=0 的账户未必能登录,还需结合 /etc/shadow 判断其认证状态:

  • 运行 grep "^用户名:" /etc/shadow(把“用户名”替换成上一步发现的可疑名)
  • 检查第二字段(密码字段):
    – 若为空(::)、为 !*,说明账户被禁用或无密码,但仍有本地提权风险;
    – 若为 $6$$1$ 等加密串,且未过期,就具备完整远程登录能力;
    – 若该行根本不存在,说明攻击者可能仅修改了 passwd 文件,未同步写入 shadow,属低配伪造,但仍需清除。

检查账户创建痕迹与隐藏行为

UID=0 账户往往伴随其他异常信号:

  • ls -l /etc/passwd 查看文件修改时间 —— 若修改时间在非维护窗口(如凌晨 2 点),高度可疑;
  • last -n 30 | grep "可疑用户名" 看是否有实际登录记录;
  • grep "可疑用户名" /var/log/secure 2>/dev/null 检查 SSH 认证日志中是否存在成功登录或暴力尝试;
  • 检查其家目录是否存在:ls -la /home/可疑用户名cat /etc/passwd | grep 可疑用户名 中第六字段(家目录路径),再确认该路径是否真实存在、是否含 .bash_history 等操作痕迹。

安全处置方式

确认为恶意副本后,按风险等级选择操作:

  • 临时禁用(推荐首选):usermod -L 可疑用户名 —— 会在 /etc/shadow 密码字段前加 !,阻止所有登录;
  • 彻底删除:userdel -r 可疑用户名 —— 同时删用户、家目录、邮件池;
  • 切勿仅删 /etc/passwd 行 —— 会导致系统不一致,可能引发 PAM 认证失败或服务崩溃;
  • 处置后务必运行 awk -F: '$3==0 {print $1}' /etc/passwd 再次验证,确保只剩 root。

相关推荐

151473如何将XML文件转换成与Excel 2003 XML Spreadsheet格式兼容的文件?151479哪家网络推广优化公司能真正揭秘,为企业实现高效流量增长的秘密?151481如何通过网络推广优化,帮助企业有效突破线上营销的瓶颈?151491如何确定一个网站的关键词优化是真正有效的?151493如何使用Python和BeautifulSoup读取并解析本地HTML文件?151497有哪些HTML模板代码美化工具推荐,能让代码格式更整洁?151503如何通过简化CSS渲染(如减少box-shadow)减轻手机动画导致的发热问题?151509如何利用闭包在非严格模式下有效捕获并利用 this 关键字避免全局污染?151513如何轻松获取高质量内容,助力小红书爆款迅速走红?151514如何轻松申请自营广告权限,一步到位开启独家攻略?🚀🌟151515如何根据输入框内容动态启用禁用HTML按钮?151516如何通过专业检查小红书爆款文件,实现SEO优化一步到位?151521如何制作支持左右滑动平滑过渡的双向动画照片轮播器?151522如何关闭 Chrome 表单提交后自动跳转至页面底部功能?151525如何通过 GSAP 实现图片固定定位并平滑滚动至视口顶部动画?151526如何修正Next.js Layout组件Props类型定义错误的问题?

本文共计761个文字,预计阅读时间需要4分钟。

如何实战排查/etc/passwd中Root权限账户的恶意篡改副本?

直接查询UID为0的账户,是识别root权限副本的最有效、最不可逾越的方式。除非是root本身,其他任何UID为0的用户都属于高风险异常。

快速定位所有 UID=0 账户

执行这条命令:

awk -F: '$3==0 {print $1}' /etc/passwd

正常输出应只有 root。如果出现 adminbackupsysadm 或任何其他用户名,就是被植入的 root 权限副本。

注意:不要只看用户名是否“像管理员”,关键看第三字段(UID)是否等于 0 —— 这是系统判定超级权限的唯一依据。

验证该账户是否真实可用

一个 UID=0 的账户未必能登录,还需结合 /etc/shadow 判断其认证状态:

  • 运行 grep "^用户名:" /etc/shadow(把“用户名”替换成上一步发现的可疑名)
  • 检查第二字段(密码字段):
    – 若为空(::)、为 !*,说明账户被禁用或无密码,但仍有本地提权风险;
    – 若为 $6$$1$ 等加密串,且未过期,就具备完整远程登录能力;
    – 若该行根本不存在,说明攻击者可能仅修改了 passwd 文件,未同步写入 shadow,属低配伪造,但仍需清除。

检查账户创建痕迹与隐藏行为

UID=0 账户往往伴随其他异常信号:

  • ls -l /etc/passwd 查看文件修改时间 —— 若修改时间在非维护窗口(如凌晨 2 点),高度可疑;
  • last -n 30 | grep "可疑用户名" 看是否有实际登录记录;
  • grep "可疑用户名" /var/log/secure 2>/dev/null 检查 SSH 认证日志中是否存在成功登录或暴力尝试;
  • 检查其家目录是否存在:ls -la /home/可疑用户名cat /etc/passwd | grep 可疑用户名 中第六字段(家目录路径),再确认该路径是否真实存在、是否含 .bash_history 等操作痕迹。

安全处置方式

确认为恶意副本后,按风险等级选择操作:

  • 临时禁用(推荐首选):usermod -L 可疑用户名 —— 会在 /etc/shadow 密码字段前加 !,阻止所有登录;
  • 彻底删除:userdel -r 可疑用户名 —— 同时删用户、家目录、邮件池;
  • 切勿仅删 /etc/passwd 行 —— 会导致系统不一致,可能引发 PAM 认证失败或服务崩溃;
  • 处置后务必运行 awk -F: '$3==0 {print $1}' /etc/passwd 再次验证,确保只剩 root。