V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
king2014
V2EX  ›  Linux

centos 使用 passwd 命令后,密码被明文保存在 boot/grup/tt/docs 下面,请问是这个命令被篡改了吗

  •  
  •   king2014 · 2017-12-18 21:31:02 +08:00 · 4034 次点击
    这是一个创建于 2532 天前的主题,其中的信息可能已经有所发展或是发生改变。




    使用 passwd 命令后,密码会被保存在那边,这是怎么回事?
    23 条回复    2017-12-21 11:06:30 +08:00
    swulling
        1
    swulling  
       2017-12-18 21:33:28 +08:00 via iPhone
    应该是中招了
    king2014
        2
    king2014  
    OP
       2017-12-18 21:36:53 +08:00
    @swulling 有什么好的建议吗
    swulling
        3
    swulling  
       2017-12-18 21:38:26 +08:00 via iPhone
    @king2014 重装系统
    zlfzy
        4
    zlfzy  
       2017-12-18 21:41:59 +08:00
    你的关键命令可能都被改过了,重装系统吧
    Phant0m
        5
    Phant0m  
       2017-12-18 23:55:34 +08:00
    ssh 后门 重新安装一下 openssh-server 包
    Phant0m
        6
    Phant0m  
       2017-12-18 23:58:55 +08:00
    补充一下 也可能是 pam 后门 校验一下 rpm 包
    rpm -qV openssh-server
    rpm -qV pam
    看看 sshd,还有 pam_unix.so 的 md5 是否有改变 (出来的结果是否有 5 的字符)
    raysonx
        7
    raysonx  
       2017-12-19 02:14:15 +08:00 via iPad
    先看 passwd 有没有被 alias 覆盖:alias passwd。
    再 which passwd 看有没有被 PATH 覆盖。
    最后再按照楼上所说的进行包检查。
    yaxin
        8
    yaxin  
       2017-12-19 09:14:19 +08:00 via iPhone
    这么随意和不规范的命名肯定有问题!不过我更好奇的是楼主怎么发现的?
    Nioty
        9
    Nioty  
       2017-12-19 09:20:23 +08:00 via Android
    不仅会保存呢 还有偷偷的上传给别人呢😌
    wmhx
        10
    wmhx  
       2017-12-19 10:47:35 +08:00
    这都被你发现了.
    anjing01
        11
    anjing01  
       2017-12-19 16:58:42 +08:00
    centos 密码用来做什么?
    一般就接显示器 /管理卡进入会用吧?平时都是 key+sudo 免密码解决的啊
    king2014
        12
    king2014  
    OP
       2017-12-20 20:22:08 +08:00
    @anjing01 现在是像你这么操作的
    king2014
        13
    king2014  
    OP
       2017-12-20 20:23:33 +08:00
    @wmhx
    @yaxin 也是偶然发现的,我有个备份的。因为发现服务器有被动过痕迹,然后对比了下文件。我是新手
    king2014
        14
    king2014  
    OP
       2017-12-20 20:29:14 +08:00
    king2014
        15
    king2014  
    OP
       2017-12-20 22:00:36 +08:00
    @Phant0m 非常感谢,我通过 strace 监控 sshd 进程读写文件的操作发现有如下操作,就是写入到那个文件的,是不是代表我的 ssh 后门?我前几天设置了只允许公钥登录,所以这几天他登录不上来搞破坏吗?我接下去要做的是重新安装 openssh 是吧?
    king2014
        16
    king2014  
    OP
       2017-12-20 22:13:36 +08:00
    king2014
        17
    king2014  
    OP
       2017-12-20 22:24:22 +08:00
    king2014
        18
    king2014  
    OP
       2017-12-20 22:25:21 +08:00
    @yaxin
    @wmhx
    通过 strace 监控 sshd 进程读写文件,看 15 楼也是可以追踪到的,但是我先前确实是靠文件对比才发现
    king2014
        19
    king2014  
    OP
       2017-12-20 22:31:03 +08:00
    @Phant0m md5 改变代表已经被黑客篡改了吗 /
    king2014
        20
    king2014  
    OP
       2017-12-20 22:37:06 +08:00
    @Phant0m 如果自己通过工具修改了,是不是也会 rpm 检验也会发生改变?比如我直接通过 beyondcompare 改了 sshd_config
    Phant0m
        21
    Phant0m  
       2017-12-20 22:55:59 +08:00
    @king2014 修改了配置文件 md5 发生改变 rpm 包检测 其中 s 就是 file size 5 就是 md5
    Phant0m
        22
    Phant0m  
       2017-12-20 22:57:40 +08:00
    @king2014 只要是 rpm 安装完之后的修改 rpm 检测都会不通过
    anjing01
        23
    anjing01  
       2017-12-21 11:06:30 +08:00
    我遇到过一次,ps/lsof 等命令被改的,查了半天查不到,然后想起来了,直接拷贝个 ps/lsof 上去一缕,就出来了,是通过 struts2 框架搞进来的——我早就修复了,然后我们研发在线上测试环境部署了一套新代码,没通知我导致的。

    你这个先找找怎么被入侵的,比如 redis 无密码 /web 框架漏洞之类的,否则源头不搞定,光搞包替换 /公钥 /iptables/fail2ban 这些都没有用,还是会被干。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1340 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 17:40 · PVG 01:40 · LAX 09:40 · JFK 12:40
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.