我的情况很奇怪。几个小时前,Rackspace 发出了一张票据,称我的服务器发生了一次出站洪水攻击。
我以为服务器可能已被 rootkit 所植入,所以我运行了 chkrootkit 扫描,但什么也没出现。
因此我决定更改 ssh 密码,结果如下。
$ passwd <<username>>
Enter new UNIX password:
Retype new UNIX password:
passwd: password updated successfully
当我在另一个 Ubuntu 11.10 上做同样的事情时,发生了这种情况。
$ passwd <<username>>
Changing password for username.
(current) UNIX password:
Enter new UNIX password:
Retype new UNIX password:
passwd: password updated successfully
因此,在一台服务器(怀疑已被攻击)上,passwd 命令在更改密码之前不会要求输入“上一个”密码。而在另一台服务器上,它会要求输入。
我检查了 nginx 访问日志,发现 http 调用源自“localhost”。我认为服务器上可能正在运行可疑脚本。
系统有可能被入侵吗?
最后,我想问一下,是否有人知道可以在服务器上运行的好的 rootkit 扫描。我并不是在寻求灵丹妙药,而是你们通常使用的东西。我对服务器安全还不太熟悉。
多谢你们!
答案1
当您passwd以 root 身份运行时,系统不会提示您输入旧密码。与任何其他用户一样,系统会提示您输入旧密码。