centos 使用 passwd 命令后，密码被明文保存在 boot/grup/tt/docs 下面，请问是这个命令被篡改了吗

@king2014 修改了配置文件 md5 发生改变 rpm 包检测 其中 s 就是 file size 5 就是 md5

@king2014 只要是 rpm 安装完之后的修改 rpm 检测都会不通过

我遇到过一次，ps/lsof 等命令被改的，查了半天查不到，然后想起来了，直接拷贝个 ps/lsof 上去一缕，就出来了，是通过 struts2 框架搞进来的——我早就修复了，然后我们研发在线上测试环境部署了一套新代码，没通知我导致的。

你这个先找找怎么被入侵的，比如 redis 无密码 /web 框架漏洞之类的，否则源头不搞定，光搞包替换 /公钥 /iptables/fail2ban 这些都没有用，还是会被干。