Я в очень странной ситуации. Несколько часов назад Rackspace выпустил тикет, в котором говорилось, что с моего сервера исходит исходящий поток.
Думая, что сервер мог быть рутирован с помощью руткита, я запустил сканирование chkrootkit, и ничего не обнаружилось.
Итак, я решил сменить пароль ssh, и вот что произошло.
$ passwd <<username>>
Enter new UNIX password:
Retype new UNIX password:
passwd: password updated successfully
Когда я проделал то же самое на другом Ubuntu 11.10, это случилось.
$ passwd <<username>>
Changing password for username.
(current) UNIX password:
Enter new UNIX password:
Retype new UNIX password:
passwd: password updated successfully
Следовательно, на одном сервере (предположительно атакованном) команда passwd не запрашивает «предыдущий» пароль перед изменением пароля. На другом сервере это так.
Я проверил журналы доступа nginx и обнаружил http-вызовы, исходящие от "localhost". Думаю, на сервере запущен подозрительный скрипт.
Может быть, система взломана?
Наконец, я хотел бы спросить, знает ли кто-нибудь о хорошем сканировании руткитов, которое я мог бы запустить на сервере. Я не прошу серебряную пулю, а то, что вы обычно используете. Я новичок в безопасности серверов.
Спасибо, парни!
Когда ты бежишь passwd
как root, вам не будет предложено ввести старый пароль. Как и любому другому пользователю, вам будет предложено ввести старый пароль.