centos 使用 passwd 命令后,密码被明文保存在 boot/grup/tt/docs 下面,请问是这个命令被篡改了吗
king2014 · 2017-12-18 21:31:02 +08:00 · 4033 次点击这是一个创建于 2531 天前的主题,其中的信息可能已经有所发展或是发生改变。
使用 passwd 命令后,密码会被保存在那边,这是怎么回事?
 |
1
swulling 2017-12-18 21:33:28 +08:00 via iPhone
应该是中招了
|
 |
4
zlfzy 2017-12-18 21:41:59 +08:00
你的关键命令可能都被改过了,重装系统吧
|
 |
5
Phant0m 2017-12-18 23:55:34 +08:00
ssh 后门 重新安装一下 openssh-server 包
|
|
6
Phant0m 2017-12-18 23:58:55 +08:00
补充一下 也可能是 pam 后门 校验一下 rpm 包
rpm -qV openssh-server rpm -qV pam 看看 sshd,还有 pam_unix.so 的 md5 是否有改变 (出来的结果是否有 5 的字符) |
 |
7
raysonx 2017-12-19 02:14:15 +08:00 via iPad
先看 passwd 有没有被 alias 覆盖:alias passwd。
再 which passwd 看有没有被 PATH 覆盖。 最后再按照楼上所说的进行包检查。 |
 |
8
yaxin 2017-12-19 09:14:19 +08:00 via iPhone
这么随意和不规范的命名肯定有问题!不过我更好奇的是楼主怎么发现的?
|
 |
9
Nioty 2017-12-19 09:20:23 +08:00 via Android
不仅会保存呢 还有偷偷的上传给别人呢😌
|
 |
10
wmhx 2017-12-19 10:47:35 +08:00
这都被你发现了.
|
 |
11
anjing01 2017-12-19 16:58:42 +08:00
centos 密码用来做什么?
一般就接显示器 /管理卡进入会用吧?平时都是 key+sudo 免密码解决的啊 |
 |
15
king2014 OP @Phant0m 非常感谢,我通过 strace 监控 sshd 进程读写文件的操作发现有如下操作,就是写入到那个文件的,是不是代表我的 ssh 后门?我前几天设置了只允许公钥登录,所以这几天他登录不上来搞破坏吗?我接下去要做的是重新安装 openssh 是吧?
 |
|
16
king2014 OP  |
|
18
king2014 OP |
|
20
king2014 OP |
|
23
anjing01 2017-12-21 11:06:30 +08:00
我遇到过一次,ps/lsof 等命令被改的,查了半天查不到,然后想起来了,直接拷贝个 ps/lsof 上去一缕,就出来了,是通过 struts2 框架搞进来的——我早就修复了,然后我们研发在线上测试环境部署了一套新代码,没通知我导致的。
你这个先找找怎么被入侵的,比如 redis 无密码 /web 框架漏洞之类的,否则源头不搞定,光搞包替换 /公钥 /iptables/fail2ban 这些都没有用,还是会被干。 |
Select Language