Новая строка в /etc/passwd?

Question

Новая строка в /etc/passwd?

Вчера я заметил несколько новых журналов ошибок php и проверил / etc / passwd

Я нашел эту новую строку там: l33th4xor:4l5aMj4l33T:666:666:H4x0R:/:/usr/bin/sudo /bin/rm -rf /

Что это на самом деле означает, я вижу, что нужно выполнить что-то вроде rm -rf, но я не уверен.

Может ли кто-нибудь объяснить, что именно это означает, и может ли этот пользователь войти в систему через этого пользователя, если мой порт 22 был открыт?

1

port etcpasswd

Источник

user5078053 08 июл '15 в 01:29

2 ответа

Другие вопросы по тегам port etcpasswd

user240443 08 июл '15 в 01:34 2015-07-08 01:34 · Answer 1 · 2015-07-08 01:34

Если вы позволите ssh войти, доступны из Интернета и иметь эту строку в вашем passwdи если вы позволите sudoесли кто-нибудь казнит ssh l33th4xor@yourhost и знает соответствующий пароль в зашифрованном виде 4l5aMj4l33Tтвой жесткий диск будет стёрт (rm "удалять" -rf "рекурсивно и принудительно, не спрашивая подтверждения" / "все в корневом каталоге").

user4004007 14 май '16 в 19:18 2016-05-14 19:18 · Answer 2 · 2016-05-14 19:18

Кто-то взломал вашу машину!
Вы должны попытаться выяснить, что еще было сделано злоумышленником, попытаться отменить его изменения и обезопасить свою машину, чтобы предотвратить любые будущие атаки.

Последняя часть строки в passwd - это команда, которая выполняется при входе пользователя в систему. Обычно это какая-то оболочка, но в этом случае команда удалит все на машине.

Вы можете найти больше о значении линий в /etc/passwd файл по следующей ссылке: http://www.cyberciti.biz/faq/understanding-etcpasswd-file-format/

Некоторые вещи, которые лично мне показались интересными в размещенной вами строке passwd:

H4x0R -> HAXOR
Использование 666