在Linux系統里植入賬戶(hù)后??門(mén)是(shi)檢查一個(gè)極其簡(jiǎn)單高效的管理權限維持辦法。hack在獲得目標系統權限的后門(mén)情況下，利用建立一個(gè)操作系統賬戶(hù)當做持久化的賬戶(hù)聚集點(diǎn)，如此一來(lái)隨時(shí)都可以利用工具鏈接到目標操作系統，檢查實(shí)現對目標服務(wù)器進(jìn)行長(cháng)期操控的后門(mén)目的。(′▽?zhuān)?)依據獲得的賬戶(hù)shell方式不一樣，建立操作系統賬戶(hù)的檢查??辦法也不盡相同，一般shell方式可分為交互模式和非交互模式這兩種情況：

(1)當shell為交互模式時(shí)建ヽ(′ー｀)ノ立操作系統賬戶(hù)

當獲取到目標操作系統的后??門(mén)shell管理??權限擁有交互模式時(shí)，hack和目標操作系統能夠進(jìn)行數據傳輸，賬戶(hù)就能夠依據操作系統反饋的檢查消息提示建立操作系統賬戶(hù)和設置登陸密碼。如下所示咱們可以使用usersdd和passwd指令建立test??賬戶(hù)并對該賬號設置登陸密碼。后門(mén)(如果服務(wù)器被(bei)黑了后無(wú)法排查后門(mén)以及溯源攻擊痕跡的賬戶(hù)話(huà)可以向服務(wù)器安全服務(wù)商SINE安(′?｀*)全尋求技術(shù)支持。)

userad(′；д；`)d(′?ω?`) SI(′ω｀)NE #添加sine賬戶(hù)

passwd SINE #給sine賬戶(hù)設置登錄口令

還可以將SINE賬戶(hù)寫(xiě)到Linux 里的檢查/etc/passwd文件，VI編輯以后，后門(mén)??通過(guò)passwd命令，賬戶(hù)設置SINE賬戶(hù)的密碼。

echo "SINE:x:0:0::/:/bi??n/sh" &g??t;>/etc/passwd #添加S??INE賬戶(hù)??

pass(′ω｀)wd( ?ω?) SINE

當收集到目標服務(wù)器的shell管理權限為非交互模式時(shí)，例如：webshell等，不可以收集到系統的系統提示，都不能使用vim、vi等編輯軟件時(shí)，就不可以直接通過(guò)passwd指令設定登陸密碼了。這時(shí)，咱們能(′▽?zhuān)?使用useradd建立test用戶(hù)，采用``符號是存放可執行的DOS命令，設定該用戶(hù)的登陸密碼。

怎么檢測Linux服務(wù)器是否被植入賬戶(hù)后門(mén)?

依據我們SINE安全15年的安全從業(yè)經(jīng)驗來(lái)看，檢查L(cháng)inux服務(wù)器里是否被植入隱藏的系統賬戶(hù)后門(mén)，可以編輯一下/etc/passwd文件中的新增的潛藏用戶(hù)，還可以利用awk命令，查詢(xún)uid=0以及uid>=500的所有用戶(hù)名，如下圖的指令就可以查詢(xún)是否有異常的后門(mén)賬戶(hù)，還可以查看Linux 賬戶(hù)的登錄歷史記錄，以及登錄的IP來(lái)看下，是否有異常的賬號和IP登錄過(guò)服務(wù)器。

awk -F : '($3>=500 || $3==0){ print $1}' /etc/passwd。