Я имею, недавно столкнулся с очень нечетным возникновением в одной системе, которую я использую. Без видимой причины моя учетная запись пользователя была удалена, хотя корневой каталог все еще там.
У меня есть корневой доступ, таким образом, я могу восстановить учетную запись, но сначала, я хочу знать, как это произошло, и точно когда. Осмотр .bash_history файла корня и "последней" команды ничего не дал, и я (хорошо, был), единственный sudoer в системе.
Как я знал бы, когда это удаление произошло?
Дистрибутив является выпуском 5.4 CentOS (Финал), если это помогает.
Если Вы - единственный sudoer и единственный с законным доступом для укоренения, то сервер был по всей вероятности взломан. Многие (менее квалифицированные) взломщики удалят или отключат корневые учетные записи для предотвращения противодействия. Создайте резервную копию своих данных и переустановите, или если Вы можете сделать проверку защиты и найти дыру, используемый взломщик, делает это.
Это действительно зависит от того, как это было удалено и относительно других пользователей, но здесь является несколькими методами, которые можно попробовать:
Это - все, о чем я могу думать прямо сейчас. Вероятно, несколько других методов.