Вчера я заметил, что некоторые новые журналы ошибок PHP и я проверил/и т.д./парольНовая строка в/etc/passwd?
Я нашел эту новую линию там: l33th4xor: 4l5aMj4l33T: 666: 666: H4x0R: /:/USR/бен/Суда/бен/rm -rf/
Что это значит, я вижу, что это было сделано, как rm -rf, но я не уверен.
Может ли кто-нибудь объяснить, что это значит, и мог ли этот пользователь войти через этого пользователя, если мой 22-портовый порт был открыт?
Если вы позволяете ssh логин, доступен из Интернета и эта строка в вашем passwd, и если вы позволите sudo, если кто-то выполняют ssh [email protected] и знают соответствующий пароль, зашифрованный в 4l5aMj4l33T, ваш жесткий диск будет уничтожен (rm " удалите "-rf" рекурсивно и убедительно, не запрашивая подтверждения "/" все в корневом каталоге ").
Кто-то взломал вашу машину!
Вы должны попытаться выяснить, что еще сделано злоумышленником, попытаться вернуть его изменения и защитить вашу машину, чтобы предотвратить любые будущие атаки.
Последняя часть строки в passwd - это команда, которая запускается при входе пользователя в систему. Обычно это своего рода оболочка, но в этом случае команда удаляет все на машине.
Вы можете узнать больше о значении строк в файле /etc/passwd по следующей ссылке: http://www.cyberciti.biz/faq/understanding-etcpasswd-file-format/
Некоторые вещи, которые я лично нашел интересным в PASSWD строке публикуемую: