Если ваша конфигурация верна и это не проблема брандмауэра, это вполне может быть SELinux, в моем случае это было, и ответ был:
setsebool -P allow_ftpd_full_access 1
Со страницы man:
Если вы хотите разрешить FTP-серверам входить в систему локальным пользователям и чтение/запись всех файлов в системе, управляемой DAC, необходимо включить allow_ftpd_full_access boolean
Это действительно похоже на бэкдор.
Я бы счел систему взломанной и сбросил ее с орбиты, даже если удастся удалить пользователя, вы понятия не имеете, какие интересные сюрпризы остались на машине (например, кейлоггер для получения паролей пользователей для различных веб-сайтов).
Процессы и файлы фактически принадлежат номерам пользователей, а не именам пользователей. rootk
и root
имеют одинаковый UID, поэтому все, что принадлежит одному, также принадлежит другому. Судя по вашему описанию, похоже, что userdel
видел каждый корневой процесс ( UID 0) как принадлежащий пользователю rootk
.
Согласно этой странице руководства , userdel
имеет параметр -f
для принудительного удаления учетной записи, даже если у нее есть активные процессы. А userdel
, вероятно, просто удалит запись passwd и домашний каталог rootk
, не затрагивая фактическую учетную запись root.
Для большей безопасности я мог бы быть склонен вручную отредактировать файл паролей, чтобы удалить запись для rootk
, а затем вручную удалить домашний каталог rootk
. В вашей системе может быть команда с именем vipw
, которая позволяет безопасно редактировать / etc / passwd
в текстовом редакторе.