今天就来聊聊我捣鼓“Loly”这事儿。也不是啥大事儿,就是前阵子整理一台老旧的测试服务器时遇到的一个小插曲。
发现奇怪的用户
那天晚上,服务器跑得有点慢,我就想着上去清理清理,删点没用的日志,看看有啥进程瞎跑。常规操作嘛先是 `ls` 看了看目录,然后习惯性地 `cat /etc/passwd` 瞅瞅用户列表,看看有没有啥异常。
结果你猜怎么着?就看到了一个叫 “loly” 的用户。当时我就有点纳闷,这服务器平时就我跟另一个哥们儿捣鼓,我们俩的账号都好好的,这 “loly” 是打哪儿冒出来的?印象里装系统或者部署服务的时候,也没自动生成过这么个用户。
开始排查
第一步,我先看看这用户是干啥的。
- 看了看它的用户ID(UID)和组ID(GID),看起来像是普通用户,不是那种系统内置的特殊账户。
- 然后 `last loly` 查了下登录记录,空的!说明这账户创建之后就没登过,或者登录记录被清了。
- 接着就去 `/home` 目录下找,果然有个 `/home/loly` 的目录,但里面空空如也,啥玩意儿没有。
这就更奇怪了,一个没用过的普通账户?谁闲着没事创建的?
第二步,试试能不能登进去。
虽然知道希望不大,但我还是手痒试了试。想着会不会是哪个服务安装时留下的后门,或者哪个哥们儿手滑创建了忘了密码?
- 我记得之前好像在哪看过资料,说有个啥系统里也有个 loly 用户,密码是 fernando?我就试了试 `su loly`,然后输入 fernando,果然不对。
- 然后又试了几个弱口令,比如 ‘loly’、‘password’、‘123456’ 之类的,也都没用。
得,看来是没设置简单密码,或者根本就没打算让人登录。
处理与反思
搞了半天,也没弄明白这 “loly” 用户到底是干嘛的。因为是在测试服务器上,我也懒得再费劲去分析是哪个安装包或者脚本创建的了。
的处理很简单:既然没用,留着还可能膈应人,万一哪天真被暴力破解了?索性直接 `userdel -r loly` 给删了,连同它的家目录一起端掉,省心。
这事儿虽小,但也算是个提醒。平时咱们自己装系统、搭环境,或者用一些一键脚本的时候,得多留个心眼。看看系统里是不是多出来一些莫名其妙的用户或者服务。
尤其是一些来源不明的软件或者脚本,天知道它会不会偷偷给你留个后门账户。像这种没用又来历不明的账户,最好的处理方式就是及时清理掉,保持系统干净,也能减少点安全风险。
说白了,就是得多检查,勤清理。这回也就是个叫 “loly” 的空账户,下次指不定遇到啥。反正,自己多动手检查一遍,总比事后出了问题再补救要强。
还没有评论,来说两句吧...