(1)當shell為交互模式時建立操作系統(tǒng)賬戶

　　當獲取到目標操作系統(tǒng)的shell管理權限擁有交互模式時，hack和目標操作系統(tǒng)能夠進行數(shù)據(jù)傳輸，就能夠依據(jù)操作系統(tǒng)反饋的消息提示建立操作系統(tǒng)賬戶和設置登陸密碼。如下所示咱們可以使用usersdd和passwd指令建立test賬戶并對該賬號設置登陸密碼。(如果服務器被黑了后無法排查后門以及溯源攻擊痕跡的話可以向服務器安全服務商SINE安全尋求技術支持。)

　　useradd SINE #添加sine賬戶

　　passwd SINE #給sine賬戶設置登錄口令

　　還可以將SINE賬戶寫到Linux 里的/etc/passwd文件，VI編輯以后，通過passwd命令，設置SINE賬戶的密碼。

　　echo "SINE:x:0:0::/:/bin/sh" >>/etc/passwd #添加SINE賬戶

　　passwd SINE

　　(2)當shell為非交互模式時建立服務器賬戶

　　當收集到目標服務器的shell管理權限為非交互模式時，例如：webshell等，不可以收集到系統(tǒng)的系統(tǒng)提示，都不能使用vim、vi等編輯軟件時，就不可以直接通過passwd指令設定登陸密碼了。這時，咱們能使用useradd建立test用戶，采用``符號是存放可執(zhí)行的DOS命令，設定該用戶的登陸密碼。

　　怎么檢測Linux服務器是否被植入賬戶后門?

　　依據(jù)我們SINE安全15年的安全從業(yè)經(jīng)驗來看，檢查Linux服務器里是否被植入隱藏的系統(tǒng)賬戶后門，可以編輯一下/etc/passwd文件中的新增的潛藏用戶，還可以利用awk命令，查詢uid=0以及uid>=500的所有用戶名，如下圖的指令就可以查詢是否有異常的后門賬戶，還可以查看Linux 賬戶的登錄歷史記錄，以及登錄的IP來看下，是否有異常的賬號和IP登錄過服務器。

　　awk -F : '($3>=500 || $3==0){print $1}' /etc/passwd。