centos 使用 passwd 命令后，密码被明文保存在 boot/grup/tt/docs 下面，请问是这个命令被篡改了吗

应该是中招了

@swulling 有什么好的建议吗

@king2014 重装系统

你的关键命令可能都被改过了，重装系统吧

ssh 后门 重新安装一下 openssh-server 包

补充一下 也可能是 pam 后门 校验一下 rpm 包
rpm -qV openssh-server
rpm -qV pam
看看 sshd,还有 pam_unix.so 的 md5 是否有改变 （出来的结果是否有 5 的字符）

先看 passwd 有没有被 alias 覆盖：alias passwd。
再 which passwd 看有没有被 PATH 覆盖。
最后再按照楼上所说的进行包检查。

这么随意和不规范的命名肯定有问题！不过我更好奇的是楼主怎么发现的？

不仅会保存呢 还有偷偷的上传给别人呢😌

这都被你发现了.

centos 密码用来做什么？
一般就接显示器 /管理卡进入会用吧？平时都是 key+sudo 免密码解决的啊

@anjing01 现在是像你这么操作的

@wmhx
@yaxin 也是偶然发现的，我有个备份的。因为发现服务器有被动过痕迹，然后对比了下文件。我是新手

@Phant0m

@Phant0m 非常感谢，我通过 strace 监控 sshd 进程读写文件的操作发现有如下操作，就是写入到那个文件的，是不是代表我的 ssh 后门？我前几天设置了只允许公钥登录，所以这几天他登录不上来搞破坏吗？我接下去要做的是重新安装 openssh 是吧？

@wmhx
@yaxin

@yaxin
@wmhx
通过 strace 监控 sshd 进程读写文件，看 15 楼也是可以追踪到的，但是我先前确实是靠文件对比才发现

@Phant0m md5 改变代表已经被黑客篡改了吗 /

@Phant0m 如果自己通过工具修改了，是不是也会 rpm 检验也会发生改变？比如我直接通过 beyondcompare 改了 sshd_config

@king2014 修改了配置文件 md5 发生改变 rpm 包检测 其中 s 就是 file size 5 就是 md5

@king2014 只要是 rpm 安装完之后的修改 rpm 检测都会不通过

我遇到过一次，ps/lsof 等命令被改的，查了半天查不到，然后想起来了，直接拷贝个 ps/lsof 上去一缕，就出来了，是通过 struts2 框架搞进来的——我早就修复了，然后我们研发在线上测试环境部署了一套新代码，没通知我导致的。

你这个先找找怎么被入侵的，比如 redis 无密码 /web 框架漏洞之类的，否则源头不搞定，光搞包替换 /公钥 /iptables/fail2ban 这些都没有用，还是会被干。