说米网

在Linux体系里植入账户后门是一个极端简略高效的管理权限保持办法。hack在取得方针体系权限的状况下，运用树立一个操作体系账户作为持久化的聚集点，如此一来随时都能够运用工具链接到方针操作体系，实现对方针服务器进行长时间操控的意图。根据取得的shell方法不一样，树立操作体系账户的办法也不尽相同，一般shell方法可分为交互形式和非交互形式这两种状况：

(1)当shell为交互形式时树立操作体系账户

当获取到方针操作体系的shell管理权限拥有交互形式时，hack和方针操作体系能够进行数据传输，就能够根据操作体系反馈的音讯提示树立操作体系账户和设置登陆暗码。如下所示我们能够运用usersdd和passwd指令树立test账户并对该账号设置登陆暗码。(如果服务器被黑了后无法排查后门以及溯源进犯痕迹的话能够向服务器安全服务商SINE安全寻求技术支持。)

useradd SINE #添加sine账户

passwd SINE #给sine账户设置登录口令

还能够将SINE账户写到Linux 里的/etc/passwd文件，VI修改今后，通过passwd指令，设置SINE账户的暗码。

echo “SINE:x:0:0::/:/bin/sh” >>/etc/passwd #添加SINE账户

passwd SINE

(2)当shell为非交互形式时树立服务器账户

当收集到方针服务器的shell管理权限为非交互形式时，例如：webshell等，不能够收集到体系的体系提示，都不能运用vim、vi等修改软件时，就不能够直接通过passwd指令设定登陆暗码了。这时，我们能运用useradd树立test用户，选用“符号是存放可执行的DOS指令，设定该用户的登陆暗码。

服务器cpu怎么检测Linux服务器是否被植入账户后门?

根据我们SINE安全15年的安全从业经历来看，检查Linux服务器里是否被植入隐藏的体系账户后门，能够修改一下/etc/passwd文件中的新增的潜藏用户，还能够运用awk指令，查询uid=0以及uid>=500的一切用户名，如下图的指令就能够查询是否有异常的后门账户，还能够检查Linux 账户的登录历史记录，以及登录的IP来看下，是否有异常的账号和IP登录过服务器。