几年前我们的集群服务器被黑,被装了带后门的sshd,把用户登录密码存放到/usr/inc
lude/netda.h中......
能被发现是因为带后门的sshd有各种问题,用户登录时出错.....
根据sshd的修改时间,及pacct的记录,追踪到test1用户的一些操作,
以及其目录下的遗留的用于获取root的代码......
再查系统记录,test1有几次登录失败然后成功的记录,是这个账号用了弱密码,
猜测是黑客还没来得及清理痕迹,换sshd后没法再次登录了......
【 在 l234567890 的大作中提到: 】
: 一个老师说登不上了,我试了下果然登不上了
: 接上显示屏和键盘也没反应,只能强制关机然后重启了
: 进去后看了下账户,发现多了一个system账户,看日期像是13号创建的
: ...................
--
FROM 111.203.137.*