/ etc / passwd中的新行?

时间:2015-07-08 01:30:00

标签: port etcpasswd

昨天我发现了一些新的php错误日志,我检查了/ etc / passwd

我在那里找到了这条新线: l33th4xor:4l5aMj4l33T:666:666:H4x0R:/:/ usr / bin / sudo / bin / rm -rf /

这实际意味着什么,我觉得它被执行得像rm -rf,但我不确定。

有人可以解释一下这意味着什么,如果我的22端口被打开,这个用户可以通过这个用户登录吗?

2 个答案:

答案 0 :(得分:1)

如果您允许ssh登录,则可以通过互联网访问并在passwd中添加此行,如果您允许sudo,则有人执行ssh l33th4xor@yourhost并知道相应的密码加密为4l5aMj4l33T,您的硬盘将被擦除(rm“递归并强制删除”-rf“而不要求确认”/“根目录中的所有内容“)。

答案 1 :(得分:0)

有人入侵了你的机器!
您应该尝试调查攻击者做了什么,尝试恢复他的更改并保护您的计算机以防止任何未来的攻击。<​​/ strong>

passwd中该行的最后一部分是在用户登录时执行的命令。通常它是某种shell,但在这种情况下,命令会删除机器上的所有内容。

您可以在以下链接的/etc/passwd文件中找到有关行含义的更多信息:http://www.cyberciti.biz/faq/understanding-etcpasswd-file-format/

我个人觉得有些事情在你发布的passwd行中很有意思:

  • H4x0R - &gt; HAXOR
  • 使用666