root密码被改之后 |
您所在的位置:网站首页 › rust密码被改了 › root密码被改之后 |
情况:9月16日,登陆一台闲置很久的服务器,发现root密码被改 面临问题 1.修改root密码确保可以登录 2.查看root密码修改历史信息,确认是人为误操作还是被黑 修改root密码 过程{1.到机房重启服务器,在系统选择界面(grub)点上下按键,并选择系统 按"E"进行编辑 2.此时可以进行编辑,在当前行后面加入“空格”+“single” 回车 3.选择刚编辑的那一行,点击“B” 4.在#提示符出现后的命令行中输入passwd root修改密码 并重启 “reboot” }(注:此操作不会被linux记入日志) 确认之前root被修改的操作时间 查看信息last -x 查看root登陆时间 确定最后一次登陆的时间 查看history 但是只有操作没有具体时间,可以看到有部分passwd操作 为以后更方便查询问题 可以加入时间 { 使用echo 'export HISTTIMEFORMAT="%F %T `whoami` "' >> /etc/profile 然后source一下 }(注:此操作不能加上历史时间,) 由于change操作是特殊操作,会记录在/var/log/secure 所以执行cat /var/log/secure* | grep chang 返回 Sep 16 15:16:27 db passwd: pam_unix(passwd:chauthtok): password changed for oracle Sep 2 16:22:18 db passwd: pam_unix(passwd:chauthtok): password changed for root Sep 2 16:40:22 db passwd: pam_unix(passwd:chauthtok): password changed for ftpuser
再结合last -x中的信息基本可以定位问题,是9月2日一个乙方工程师在做系统优化时随手改掉的
此结论建立在所有日志齐全情况下,如果真的是黑客,应该不大会去改root密码并且应该会删除大部分登录信息
|
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |