Home Sign Up Sign In
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member  Sign In
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
king2014
V2EX  ›  Linux

centos 使用 passwd 命令后,密码被明文保存在 boot/grup/tt/docs 下面,请问是这个命令被篡改了吗

  •   
  •   king2014 · Dec 18, 2017 · 4447 views
    This topic created in 3058 days ago, the information mentioned may be changed or developed.




    使用 passwd 命令后,密码会被保存在那边,这是怎么回事?
  • 命令
  • centos
  • passwd
  • Docs
    23 replies    2017-12-21 11:06:30 +08:00
    swulling
        1
    swulling  
       Dec 18, 2017 via iPhone
    应该是中招了
    king2014
        2
    king2014  
    OP
       Dec 18, 2017
    @swulling 有什么好的建议吗
    swulling
        3
    swulling  
       Dec 18, 2017 via iPhone
    @king2014 重装系统
    zlfzy
        4
    zlfzy  
       Dec 18, 2017
    你的关键命令可能都被改过了,重装系统吧
    Phant0m
        5
    Phant0m  
       Dec 18, 2017
    ssh 后门 重新安装一下 openssh-server 包
    Phant0m
        6
    Phant0m  
       Dec 18, 2017
    补充一下 也可能是 pam 后门 校验一下 rpm 包
    rpm -qV openssh-server
    rpm -qV pam
    看看 sshd,还有 pam_unix.so 的 md5 是否有改变 (出来的结果是否有 5 的字符)
    raysonx
        7
    raysonx  
       Dec 19, 2017 via iPad
    先看 passwd 有没有被 alias 覆盖:alias passwd。
    再 which passwd 看有没有被 PATH 覆盖。
    最后再按照楼上所说的进行包检查。
    yaxin
        8
    yaxin  
       Dec 19, 2017 via iPhone
    这么随意和不规范的命名肯定有问题!不过我更好奇的是楼主怎么发现的?
    Nioty
        9
    Nioty  
       Dec 19, 2017 via Android
    不仅会保存呢 还有偷偷的上传给别人呢😌
    wmhx
        10
    wmhx  
       Dec 19, 2017
    这都被你发现了.
    anjing01
        11
    anjing01  
       Dec 19, 2017
    centos 密码用来做什么?
    一般就接显示器 /管理卡进入会用吧?平时都是 key+sudo 免密码解决的啊
    king2014
        12
    king2014  
    OP
       Dec 20, 2017
    @anjing01 现在是像你这么操作的
    king2014
        13
    king2014  
    OP
       Dec 20, 2017
    @wmhx
    @yaxin 也是偶然发现的,我有个备份的。因为发现服务器有被动过痕迹,然后对比了下文件。我是新手
    king2014
        14
    king2014  
    OP
       Dec 20, 2017
    @Phant0m
    king2014
        15
    king2014  
    OP
       Dec 20, 2017
    @Phant0m 非常感谢,我通过 strace 监控 sshd 进程读写文件的操作发现有如下操作,就是写入到那个文件的,是不是代表我的 ssh 后门?我前几天设置了只允许公钥登录,所以这几天他登录不上来搞破坏吗?我接下去要做的是重新安装 openssh 是吧?
    king2014
        16
    king2014  
    OP
       Dec 20, 2017
    king2014
        17
    king2014  
    OP
       Dec 20, 2017
    @wmhx
    @yaxin
    king2014
        18
    king2014  
    OP
       Dec 20, 2017
    @yaxin
    @wmhx
    通过 strace 监控 sshd 进程读写文件,看 15 楼也是可以追踪到的,但是我先前确实是靠文件对比才发现
    king2014
        19
    king2014  
    OP
       Dec 20, 2017
    @Phant0m md5 改变代表已经被黑客篡改了吗 /
    king2014
        20
    king2014  
    OP
       Dec 20, 2017
    @Phant0m 如果自己通过工具修改了,是不是也会 rpm 检验也会发生改变?比如我直接通过 beyondcompare 改了 sshd_config
    Phant0m
        21
    Phant0m  
       Dec 20, 2017
    @king2014 修改了配置文件 md5 发生改变 rpm 包检测 其中 s 就是 file size 5 就是 md5
    Phant0m
        22
    Phant0m  
       Dec 20, 2017
    @king2014 只要是 rpm 安装完之后的修改 rpm 检测都会不通过
    anjing01
        23
    anjing01  
       Dec 21, 2017
    我遇到过一次,ps/lsof 等命令被改的,查了半天查不到,然后想起来了,直接拷贝个 ps/lsof 上去一缕,就出来了,是通过 struts2 框架搞进来的——我早就修复了,然后我们研发在线上测试环境部署了一套新代码,没通知我导致的。

    你这个先找找怎么被入侵的,比如 redis 无密码 /web 框架漏洞之类的,否则源头不搞定,光搞包替换 /公钥 /iptables/fail2ban 这些都没有用,还是会被干。
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   2314 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 55ms · UTC 01:20 · PVG 09:20 · LAX 18:20 · JFK 21:20
    ♥ Do have faith in what you're doing.