centos 使用 passwd 命令后,密码被明文保存在 boot/grup/tt/docs 下面,请问是这个命令被篡改了吗

2017-12-18 21:31:02 +08:00
 king2014




使用 passwd 命令后,密码会被保存在那边,这是怎么回事?
4036 次点击
所在节点    Linux
23 条回复
swulling
2017-12-18 21:33:28 +08:00
应该是中招了
king2014
2017-12-18 21:36:53 +08:00
@swulling 有什么好的建议吗
swulling
2017-12-18 21:38:26 +08:00
@king2014 重装系统
zlfzy
2017-12-18 21:41:59 +08:00
你的关键命令可能都被改过了,重装系统吧
Phant0m
2017-12-18 23:55:34 +08:00
ssh 后门 重新安装一下 openssh-server 包
Phant0m
2017-12-18 23:58:55 +08:00
补充一下 也可能是 pam 后门 校验一下 rpm 包
rpm -qV openssh-server
rpm -qV pam
看看 sshd,还有 pam_unix.so 的 md5 是否有改变 (出来的结果是否有 5 的字符)
raysonx
2017-12-19 02:14:15 +08:00
先看 passwd 有没有被 alias 覆盖:alias passwd。
再 which passwd 看有没有被 PATH 覆盖。
最后再按照楼上所说的进行包检查。
yaxin
2017-12-19 09:14:19 +08:00
这么随意和不规范的命名肯定有问题!不过我更好奇的是楼主怎么发现的?
Nioty
2017-12-19 09:20:23 +08:00
不仅会保存呢 还有偷偷的上传给别人呢😌
wmhx
2017-12-19 10:47:35 +08:00
这都被你发现了.
anjing01
2017-12-19 16:58:42 +08:00
centos 密码用来做什么?
一般就接显示器 /管理卡进入会用吧?平时都是 key+sudo 免密码解决的啊
king2014
2017-12-20 20:22:08 +08:00
@anjing01 现在是像你这么操作的
king2014
2017-12-20 20:23:33 +08:00
@wmhx
@yaxin 也是偶然发现的,我有个备份的。因为发现服务器有被动过痕迹,然后对比了下文件。我是新手
king2014
2017-12-20 20:29:14 +08:00
king2014
2017-12-20 22:00:36 +08:00
@Phant0m 非常感谢,我通过 strace 监控 sshd 进程读写文件的操作发现有如下操作,就是写入到那个文件的,是不是代表我的 ssh 后门?我前几天设置了只允许公钥登录,所以这几天他登录不上来搞破坏吗?我接下去要做的是重新安装 openssh 是吧?
king2014
2017-12-20 22:13:36 +08:00
king2014
2017-12-20 22:24:22 +08:00
king2014
2017-12-20 22:25:21 +08:00
@yaxin
@wmhx
通过 strace 监控 sshd 进程读写文件,看 15 楼也是可以追踪到的,但是我先前确实是靠文件对比才发现
king2014
2017-12-20 22:31:03 +08:00
@Phant0m md5 改变代表已经被黑客篡改了吗 /
king2014
2017-12-20 22:37:06 +08:00
@Phant0m 如果自己通过工具修改了,是不是也会 rpm 检验也会发生改变?比如我直接通过 beyondcompare 改了 sshd_config

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/415797

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX