在Linux系統(tǒng)里植入賬戶后門是一個(gè)極其簡(jiǎn)單高效的管理權(quán)限維持辦法。hack在獲得目標(biāo)系統(tǒng)權(quán)限的情況下，利用建立一個(gè)操作系統(tǒng)賬戶當(dāng)做持久化的聚集點(diǎn)，如此一來(lái)隨時(shí)都可以利用工具鏈接到目標(biāo)操作系統(tǒng)，實(shí)現(xiàn)對(duì)目標(biāo)服務(wù)器進(jìn)行長(zhǎng)期操控的目的。依據(jù)獲得的shell方式不一樣，建立操作系統(tǒng)賬戶的辦法也不盡相同，一般shell方式可分為交互模式和非交互模式這兩種情況：

(1)當(dāng)shell為交互模式時(shí)建立操作系統(tǒng)賬戶

當(dāng)獲取到目標(biāo)操作系統(tǒng)的shell管理權(quán)限擁有交互模式時(shí)，hack和目標(biāo)操作系統(tǒng)能夠進(jìn)行數(shù)據(jù)傳輸，就能夠依據(jù)操作系統(tǒng)反饋的消息提示建立操作系統(tǒng)賬戶和設(shè)置登陸密碼。如下所示咱們可以使用usersdd和passwd指令建立test賬戶并對(duì)該賬號(hào)設(shè)置登陸密碼。(如果服務(wù)器被黑了后無(wú)法排查后門以及溯源攻擊痕跡的話可以向服務(wù)器安全服務(wù)商SINE安全尋求技術(shù)支持。)

useradd SINE #添加sine賬戶

passwd SINE #給sine賬戶設(shè)置登錄口令

還可以將SINE賬戶寫到Linux 里的/etc/passwd文件，VI編輯以后，通過(guò)passwd命令，設(shè)置SINE賬戶的密碼。

echo 'SINE:x:0:0::/:/bin/sh' >>/etc/passwd #添加SINE賬戶

passwd SINE

(2)當(dāng)shell為非交互模式時(shí)建立服務(wù)器賬戶

當(dāng)收集到目標(biāo)服務(wù)器的shell管理權(quán)限為非交互模式時(shí)，例如：webshell等，不可以收集到系統(tǒng)的系統(tǒng)提示，都不能使用vim、vi等編輯軟件時(shí)，就不可以直接通過(guò)passwd指令設(shè)定登陸密碼了。這時(shí)，咱們能使用useradd建立test用戶，采用``符號(hào)是存放可執(zhí)行的DOS命令，設(shè)定該用戶的登陸密碼。

怎么檢測(cè)Linux服務(wù)器是否被植入賬戶后門?

依據(jù)我們SINE安全15年的安全從業(yè)經(jīng)驗(yàn)來(lái)看，檢查L(zhǎng)inux服務(wù)器里是否被植入隱藏的系統(tǒng)賬戶后門，可以編輯一下/etc/passwd文件中的新增的潛藏用戶，還可以利用awk命令，查詢uid=0以及uid>=500的所有用戶名，如下圖的指令就可以查詢是否有異常的后門賬戶，還可以查看Linux 賬戶的登錄歷史記錄，以及登錄的IP來(lái)看下，是否有異常的賬號(hào)和IP登錄過(guò)服務(wù)器。

awk -F : '($3>=500 || $3==0){print $1}' /etc/passwd。