如何清理被黑的使用者帳戶（不是root）？

所以我設置了一個 linux 伺服器，忘記禁用明文 ssh 密碼或安裝拒絕主機或啟用任何類型的密碼策略。通常我有拒絕主機，它執行良好。由於錯過了這一重要步驟（是的，我應該自動化該過程），密碼弱的使用者已被黑客入侵。現在假設一般權限很好，我該怎麼做才能弄清楚他們做了什麼並將其刪除？

順便說一句，我本質上是程序員而不是系統管理員，所以請善待！

您永遠無法完全確定他們在使用者帳戶上做了什麼。但是開始的地方是主目錄中的 .*history 文件。

我的建議是複制出已知的良好/重要數據，然後將其餘數據吹走。入侵者可能會在配置文件、.bashrc 等中留下任何令人討厭的驚喜。

您還應該檢查使用者擁有的任何文件是否在系統上並查找正在執行的程序：

# find / -user USERNAME
# ps -a -u USERNAME

對於未來，我建議打開流程會計。然後，您可以使用“lastcomm”檢查以前執行的命令。

引用自：https://serverfault.com/questions/13995