Как я узнаю, когда и кем конкретный пользователь был удален в Linux?
Я имею, недавно столкнулся с очень нечетным возникновением в одной системе, которую я использую. Без видимой причины моя учетная запись пользователя была удалена, хотя корневой каталог все еще там.
У меня есть корневой доступ, таким образом, я могу восстановить учетную запись, но сначала, я хочу знать, как это произошло, и точно когда. Осмотр .bash_history файла корня и "последней" команды ничего не дал, и я (хорошо, был), единственный sudoer в системе.
Как я знал бы, когда это удаление произошло?
Дистрибутив является выпуском 5.4 CentOS (Финал), если это помогает.
2 ответа
Если Вы - единственный sudoer и единственный с законным доступом для укоренения, то сервер был по всей вероятности взломан. Многие (менее квалифицированные) взломщики удалят или отключат корневые учетные записи для предотвращения противодействия. Создайте резервную копию своих данных и переустановите, или если Вы можете сделать проверку защиты и найти дыру, используемый взломщик, делает это.
Это действительно зависит от того, как это было удалено и относительно других пользователей, но здесь является несколькими методами, которые можно попробовать:
- Посмотрите, перечислен ли Ваш пользователь все еще в passwd. Если это не, то посмотрите, назвал ли в файле passwd-, который является резервным копированием, сделанным из passwd. Если там, то метка времени, на которой более старый файл, вероятно, указал бы, когда учетная запись была удалена.
- Его возможное, что удаление находится в корне или .bash_history файл некоторого пользователя и Вы смог говорить от контекста там, когда это произошло
- Если это было сделано через sudo или что-то затем, что это могло бы быть в/var/log/messages
Это - все, о чем я могу думать прямо сейчас. Вероятно, несколько других методов.