Paolo Sala ha scritto:
Ho analizzato il file /etc/passwd e ho trovato due utenti di sistema che
hanno uid > 10000:
nobody:x:65534:65534:nobody:/nonexistent:/bin/sh
httpuser:x:10077:100::/home/httpuser:/bin/false
Qualcuno sa se è normale avere un utente nobody con anche una shell
valida? Inoltre sapete chi mi ha creato l'utente httpuser?
[...]
Per quanto riguarda l'utente nobody, sì. Il default è quello.
Per sapere chi ti ha creato l'utente httpuser, potresti fare diversi
tipi di ricerche, partendo ad esempio dalla data di creazione di
/home/httpuser che presumibilmente dovrebbe corrispondere alla data di
creazione dell'utenza. Considerato poi che adduser lo può lanciare solo
root (a meno di sudo vari) dovresti capire chi è diventato root in
quella data tramite le bash history...
Certo non è mica troppo facile...
--
RaSca
"Il regno dei cieli e' simile ad un mercante che va in cerca di
perle preziose. Trovatane una di grande valore va, vende tutti
i suoi averi e la compra" - Gesu' Cristo
http://web.tiscali.it/rascasoft