我真的很奇怪 几个小时前Rackspace发出一张票,说有一个来自我的服务器的出站泛滥。
思考服务器可能已经植根于rootkit我运行chkrootkit扫描,没有出现。
所以我决定改变SSH密码,这是发生了什么事。
$ passwd <<username>> Enter new UNIX password: Retype new UNIX password: passwd: password updated successfully 当我在另一个Ubuntu 11.10上完成同样的事情时,发生了这种情况。
$ passwd <<username>> Changing password for username. (current) UNIX password: Enter new UNIX password: Retype new UNIX password: passwd: password updated successfully
因此,在一台服务器上(怀疑已经被攻击),passwd命令在更改密码之前并不要求“先前”密码。 在另一台服务器上。
我检查了nginx访问日志,发现http调用源于“本地主机”。 我认为可能有一个可疑的脚本在服务器上运行。
系统有可能被破坏?
最后,我想问问,如果有人知道我可以在服务器上运行一个很好的rootkit扫描。 我不是要求银弹,而是你们通常使用的东西。 我对服务器安全性相当陌生。
多谢你们!
以root身份运行passwd ,不会提示您input旧密码。 与其他任何用户一样,系统会提示您input旧密码。