Ubuntu 11.10 上的 sudo passwd 行为很奇怪。我已 root 了吗?

Ubuntu 11.10 上的 sudo passwd 行为很奇怪。我已 root 了吗?

我的情况很奇怪。几个小时前,Rackspace 发出了一张票据,称我的服务器发生了一次出站洪水攻击。

我以为服务器可能已被 rootkit 所植入,所以我运行了 chkrootkit 扫描,但什么也没出现。

因此我决定更改 ssh 密码,结果如下。

$ passwd <<username>>
Enter new UNIX password: 
Retype new UNIX password: 
passwd: password updated successfully

当我在另一个 Ubuntu 11.10 上做同样的事情时,发生了这种情况。

$ passwd <<username>>
Changing password for username.
(current) UNIX password:
Enter new UNIX password: 
Retype new UNIX password: 
passwd: password updated successfully

因此,在一台服务器(怀疑已被攻击)上,passwd 命令在更改密码之前不会要求输入“上一个”密码。而在另一台服务器上,它会要求输入。

我检查了 nginx 访问日志,发现 http 调用源自“localhost”。我认为服务器上可能正在运行可疑脚本。

系统有可能被入侵吗?

最后,我想问一下,是否有人知道可以在服务器上运行的好的 rootkit 扫描。我并不是在寻求灵丹妙药,而是你们通常使用的东西。我对服务器安全还不太熟悉。

多谢你们!

答案1

当您passwd以 root 身份运行时,系统不会提示您输入旧密码。与任何其他用户一样,系统会提示您输入旧密码。

相关内容