情况：9月16日，登陆一台闲置很久的服务器，发现root密码被改

面临问题

1.修改root密码确保可以登录

2.查看root密码修改历史信息，确认是人为误操作还是被黑

修改root密码

 过程{1.到机房重启服务器，在系统选择界面（grub）点上下按键，并选择系统   按"E"进行编辑

          2.此时可以进行编辑，在当前行后面加入“空格”+“single”     回车

          3.选择刚编辑的那一行，点击“B”

          4.在#提示符出现后的命令行中输入passwd root修改密码  并重启  “reboot”

          }（注:此操作不会被linux记入日志）

 确认之前root被修改的操作时间

查看信息last -x 查看root登陆时间  确定最后一次登陆的时间

 查看history    但是只有操作没有具体时间，可以看到有部分passwd操作

 为以后更方便查询问题 可以加入时间

 {

使用echo  'export HISTTIMEFORMAT="%F %T `whoami` "' >> /etc/profile 然后source一下

}（注：此操作不能加上历史时间，）

由于change操作是特殊操作，会记录在/var/log/secure

所以执行cat /var/log/secure* | grep chang

返回

Sep 16 15:16:27 db passwd: pam_unix(passwd:chauthtok): password changed for oracle

Sep  2 16:22:18 db passwd: pam_unix(passwd:chauthtok): password changed for root

Sep  2 16:40:22 db passwd: pam_unix(passwd:chauthtok): password changed for ftpuser

再结合last -x中的信息基本可以定位问题，是9月2日一个乙方工程师在做系统优化时随手改掉的

此结论建立在所有日志齐全情况下，如果真的是黑客，应该不大会去改root密码并且应该会删除大部分登录信息