Назад | Перейти на главную страницу

sudo passwd на Ubuntu 11.10 странное поведение. Был ли я рутирован?

Я в очень странной ситуации. Несколько часов назад Rackspace выпустил тикет, в котором говорилось, что с моего сервера исходит исходящий поток.

Думая, что сервер мог быть рутирован с помощью руткита, я запустил сканирование chkrootkit, и ничего не обнаружилось.

Итак, я решил сменить пароль ssh, и вот что произошло.

$ passwd <<username>>
Enter new UNIX password: 
Retype new UNIX password: 
passwd: password updated successfully

Когда я проделал то же самое на другом Ubuntu 11.10, это случилось.

$ passwd <<username>>
Changing password for username.
(current) UNIX password:
Enter new UNIX password: 
Retype new UNIX password: 
passwd: password updated successfully

Следовательно, на одном сервере (предположительно атакованном) команда passwd не запрашивает «предыдущий» пароль перед изменением пароля. На другом сервере это так.

Я проверил журналы доступа nginx и обнаружил http-вызовы, исходящие от "localhost". Думаю, на сервере запущен подозрительный скрипт.

Может быть, система взломана?

Наконец, я хотел бы спросить, знает ли кто-нибудь о хорошем сканировании руткитов, которое я мог бы запустить на сервере. Я не прошу серебряную пулю, а то, что вы обычно используете. Я новичок в безопасности серверов.

Спасибо, парни!

Когда ты бежишь passwd как root, вам не будет предложено ввести старый пароль. Как и любому другому пользователю, вам будет предложено ввести старый пароль.