昨天我注意到一些新的 php 错误日志,我检查了 /etc/passwd
我在那里找到了这个新行: l33th4xor:4l5aMj4l33T:666:666:H4x0R:/:/usr/bin/sudo /bin/rm -rf /
这实际上是什么意思,我看到它像 rm -rf 一样被执行,但我不确定。
有人可以解释一下这是什么意思,如果我的 22 端口打开了,这个用户可以通过这个用户登录吗?
问问题
403 次
2 回答
1
如果您允许ssh登录,可以从 Internet 访问并在您的 中包含此行,并且如果您passwd允许sudo,如果有人执行ssh l33th4xor@yourhost并知道相应的密码加密为" "根目录中的所有内容")。4l5aMj4l33Trm-rf/
于 2015-07-08T01:34:29.027 回答
0
有人黑进了你的机器!
您应该尝试调查攻击者还做了什么,尝试恢复他的更改并保护您的机器以防止任何未来的攻击。
passwd 中行的最后一部分是在用户登录时执行的命令。通常它是某种外壳,但在这种情况下,该命令会删除机器上的所有内容。
/etc/passwd您可以在以下链接中找到有关文件中行含义的更多信息: http ://www.cyberciti.biz/faq/understanding-etcpasswd-file-format/
我个人在您发布的 passwd 行中发现了一些有趣的事情:
- H4x0R --> HAXOR
- 666的使用
于 2016-05-14T19:18:18.620 回答