【已解答】宝塔提示存在后门用户

本帖最后由堡塔运维小林于 2023-8-30 14:22 编辑

为了能快速了解并处理您的问题，请提供以下基础信息：

面板、插件版本：当前版本：Linux正式版 8.0.2

系统版本：当前版本：Linux正式版 8.0.2

问题描述：

检测类型：系统后门用户检测
风险等级：高危

风险描述：存在后门用户dbadmin
解决方案：1、在命令行中删除后门用户
2、注意：如果存在后门用户说明你服务器已经被入侵

温馨提示：此方案会删除与root用户同等权限的后门用户，增强对服务器权限控制的保护。若是业务需求，则忽略此风险项。
这个并不是宝塔的用户，是系统的用户，应该怎么处理，如果需要删除的话怎么删除

相关截图（日志、错误）：

运维小林q3030251644 · 发表于 2023-8-30 14:21:59

您好，如果这个用户并不是您自己创建的，说明您的服务器可能被入侵了，您可以参考下面的步骤去防护一下1、使用命令立即删除后门用户的账号:

userdel -r 后门用户名

复制代码

2、查看后门用户最近的登录日志,使用命令如last查看:

last | grep 后门用户名

复制代码

3、检查后门用户是否有在执行进程，如果有，请杀死进程

ps -u 后门用户名

复制代码

4、使用命令查找后门用户是否植入后门程序或文件:

find / -user 后门用户名

复制代码

5、更新系统软件和安全补丁:

yum update

复制代码

6、修改重要文件权限,如/etc/shadow只允许root读写:

chmod 600 /etc/shadow

复制代码

7、修改root账号的密码，使用强密码

passwd

复制代码

8、面板中开启防篡改、访入侵、系统加固等安全插件进行防护

█菠萝云买2送1活动！12G内存99元	阿里云国际低折扣多云自助平台	APP分发-无行业限制免审核	A4招租，联系qq394030111	A5招租，联系qq394030111
高防服务器，无视一切流量攻击	【阿里云】宝塔一键部署，低至5折	A8招租，联系qq394030111	【阿里云】宝塔一键部署，低至5折	OV/EV SSL证书，可当日签发
█ 易探云·香港/美国vps仅9元 █	▶CPS云◀海外大带宽vps服务器	OV/EV SSL证书，可当日签发	【云防护】专注域名和网站安全防护	A15招租，联系qq394030111