Como descubro quando e por quem um determinado usuário foi excluído no linux?

Navegue suas respostas
1

Recentemente, encontrei uma ocorrência muito estranha em um sistema que estou usando. Sem motivo aparente, minha conta de usuário foi excluída, embora o diretório inicial ainda esteja lá.

Eu tenho acesso root, então posso restaurar a conta, mas primeiro quero saber como isso aconteceu e exatamente quando. Inspecionar o arquivo .bash_history da raiz e o comando "last" não deram nada, e eu sou (bem, era) o único sudoer no sistema.

Como eu saberia quando essa exclusão aconteceu?

A distro é a versão 5.4 do CentOS (Final), se isso ajudar.

    
por executor21 28.12.2010 / 21:06

2 respostas

0

Se você é o único sudoer, e o único com acesso legítimo ao root, então seu servidor foi provavelmente quebrado. Muitos crackers (menos habilidosos) irão deletar ou desabilitar as contas de root para evitar contratações. Faça backup dos seus dados e reinstale, ou se você for capaz de fazer uma auditoria de segurança e encontrar o buraco que o cracker usou, faça isso.

    
por 28.12.2010 / 21:20
2

Depende realmente de como foi eliminado e em relação a outros utilizadores, mas aqui estão algumas técnicas que pode experimentar:

  • Veja se seu usuário ainda está listado no passwd. Se não for, então veja se está em um arquivo chamado passwd-, que é um backup feito de passwd. Se estiver lá, o timestamp desse arquivo mais antigo provavelmente indicará quando a conta foi removida.
  • É possível que a exclusão esteja na raiz ou no arquivo .bash_history de algum usuário e você possa saber a partir do contexto quando isso aconteceu
  • Se foi feito via sudo ou algo assim, pode estar em / var / log / messages

Isso é tudo que posso pensar agora. Provavelmente algumas outras técnicas.

    
por 28.12.2010 / 21:14

Tags

Existe uma maneira de mover o cursor movendo o mouse? Keybinding do Windows Emacs