/ etc / passwd被截断

如果您认为自己遭到黑客攻击，我强烈build议如何处理受感染的服务器？ 。

否则，请检查根目录的.bash_history ，在/etc/passwd查找输出redirect/etc/passwd 。 如果您使用sudo来控制根访问，请在时间周围检查sudo日志（文件的修改时间会告诉您何时清零，最有可能）。

而且，为了好，请下车Red Hat 5.7。 你运行的操作系统已经差不多有一年的时间了，而且没有任何理由 。 红帽的补丁策略是，任何软件包的版本都不会在主要版本的操作系统中出现; 补丁是backported而不是。 整个过程就是你应该能够不断修补你的RHEL5而不会危及任何function。

在很多方面，甚至连“红帽5.7”都没有。 RHEL 5.7并不是一个真正的操作系统发行版本，它只是在12/3/2012通过RHEL5修补程序的当前状态绘制的一条线。 当你说“我正在运行RHEL 5.7”时，你真正说的是“我正在运行RHEL 5，而且我已经过了一年了”。

如果您已将auditd守护程序正确configuration为关注重要文件，那么找出原因将会容易auditd 。 除了其他人转发的build议外，您还可以尝试在/var/log/audit/audit.log文件中查找提示，并使用aureport和ausearch命令。

例如，您可以运行ausearch -f passwd列出与passwd文件相关的所有审计信息。

将来，您可能需要按照CIS Red Hat Enterprise Linux 5 Benchmark设置的安全指导原则来configuration审核守护进程来监视（-w）某些文件。 这里有一些你需要添加到/etc/audit/audit.rules –

影响身份的事情：

  -w /etc/group -p wa -k identity -w /etc/passwd -p wa -k identity -w /etc/gshadow -p wa -k identity -w /etc/shadow -p wa -k identity -w /etc/security/opasswd -p wa -k identity 

@MatHatter提供了一个好的开始。 除此之外，这里有一个技巧，我保持在我的工具带，像这样的日子：

find /filesystem1 /filesystem2 -xdev -printf '%T@ %t %p\n' | sort

%T@修改时间，纪元秒（用于sorting）

%t修改时间，人类可读

%p完整文件path

季节去品尝。 一次运行一个已安装的文件系统，或者按照您认为相关的次数运行。

这样做是给你一个时间戳sorting审计最近的文件修改。 这有时可以让你了解未知事件发生的其他事情。 这当然不是防弹的，也许根本不会透露任何东西，但是我偶尔会发现这个非常有用的function，可以确定在发生未知事件时正在进行的工作。 （例如，某人在/ lib上执行rm -Rf而不是Tomcat的lib …）