怎么检查linux服务器后门账户

　　(1)当shell为交互模式时建立操作系统账户

　　当获取到目标操作系统的shell管理权限拥有交互模式时，hack和目标操作系统能够进行数据传输，就能够依据操作系统反馈的消息提示建立操作系统账户和设置登陆密码。如下所示咱们可以使用usersdd和passwd指令建立test账户并对该账号设置登陆密码。(如果服务器被黑了后无法排查后门以及溯源攻击痕迹的话可以向服务器安全服务商SINE安全寻求技术支持。)

　　useradd SINE #添加sine账户

　　passwd SINE #给sine账户设置登录口令

　　还可以将SINE账户写到Linux 里的/etc/passwd文件，VI编辑以后，通过passwd命令，设置SINE账户的密码。

　　echo "SINE:x:0:0::/:/bin/sh" >>/etc/passwd #添加SINE账户

　　passwd SINE

　　(2)当shell为非交互模式时建立服务器账户

　　当收集到目标服务器的shell管理权限为非交互模式时，例如：webshell等，不可以收集到系统的系统提示，都不能使用vim、vi等编辑软件时，就不可以直接通过passwd指令设定登陆密码了。这时，咱们能使用useradd建立test用户，采用``符号是存放可执行的DOS命令，设定该用户的登陆密码。

　　怎么检测Linux服务器是否被植入账户后门?

　　依据我们SINE安全15年的安全从业经验来看，检查Linux服务器里是否被植入隐藏的系统账户后门，可以编辑一下/etc/passwd文件中的新增的潜藏用户，还可以利用awk命令，查询uid=0以及uid>=500的所有用户名，如下图的指令就可以查询是否有异常的后门账户，还可以查看Linux 账户的登录历史记录，以及登录的IP来看下，是否有异常的账号和IP登录过服务器。

　　awk -F : '($3>=500 || $3==0){print $1}' /etc/passwd。