昨天我发现了一些新的php错误日志,我检查了/ etc / passwd
我在那里找到了这条新线: l33th4xor:4l5aMj4l33T:666:666:H4x0R:/:/ usr / bin / sudo / bin / rm -rf /
这实际意味着什么,我觉得它被执行得像rm -rf,但我不确定。
有人可以解释一下这意味着什么,如果我的22端口被打开,这个用户可以通过这个用户登录吗?
答案 0 :(得分:1)
如果您允许ssh登录,则可以通过互联网访问并在passwd中添加此行,如果您允许sudo,则有人执行ssh l33th4xor@yourhost并知道相应的密码加密为4l5aMj4l33T,您的硬盘将被擦除(rm“递归并强制删除”-rf“而不要求确认”/“根目录中的所有内容“)。
答案 1 :(得分:0)
有人入侵了你的机器!
您应该尝试调查攻击者做了什么,尝试恢复他的更改并保护您的计算机以防止任何未来的攻击。</ strong>
passwd中该行的最后一部分是在用户登录时执行的命令。通常它是某种shell,但在这种情况下,命令会删除机器上的所有内容。
您可以在以下链接的/etc/passwd文件中找到有关行含义的更多信息:http://www.cyberciti.biz/faq/understanding-etcpasswd-file-format/
我个人觉得有些事情在你发布的passwd行中很有意思: