【已解决】检测到有系统后门用户，该怎么处理呀

检测类型：系统后门用户检测
风险等级：高危

风险描述：存在后门用户xiaoqiao
解决方案：1、在命令行中删除后门用户
2、注意：如果存在后门用户说明你服务器已经被入侵

您好！根据提示的解决方案操作即可

堡塔运维向樛木 发表于 2022-5-6 17:31
您好！根据提示的解决方案操作即可

已经解决

堡塔运维向樛木 发表于 2022-5-6 17:31
您好！根据提示的解决方案操作即可

【已经解决，留存方便其他用户】
使用root用户登录删除# userdel -r xiaoqiao
userdel: user xiaoqiao is currently used by process 1

解决方法：
使用vipw命令，然后找到要删除的用户那一行（光标所在行），我第一次使用的是putty工具，上面不显示我要删除的xiaoqiao用户，我是使用宝塔内部的SSH终端登录操作的。


光标移到所要删除行，按dd删除，然后输入 :wq!  ，然后回车强制保存退出。（如果不小心删错了行，直接退出，不使用后面的保存命令就没事）

再使用userdel -r xiaoqiao 就删除成功了

VST5 发表于 2022-5-6 20:43
【已经解决，留存方便其他用户】
使用root用户登录删除# userdel -r xiaoqiao
userdel: user xiaoqiao is  ...

我具体的方法是这样的

1. # grep zhoulijiang /etc/passwd
   
2. 
   
3. zhoulijiang:x::::/home/zhoulijiang:/bin/bash
   
4. 
   
5. # userdel -r zhoulijiang
   
6. 
   
7. [root@master ~]# cd /home/
   
8. 
   
9. [root@master /home]# vipw
   
10. 
    
11. 使用dd命令删除对应的用户行，wq保存退出。
    
12. 
    
13. You have modified /etc/passwd.
    
14. 
    
15. You may need to modify /etc/shadow for consistency.
    
16. 
    
17. Please use the command 'vipw -s' to do so.
    
18. 
    
19. 按提示再使用vipw -s删除对应的属组。
    
20. 
    
21. [root@master /home]# vipw -s
    
22. 
    
23. 使用dd命令删除对应的用户行，wq保存退出。

复制代码