Deve ser uma entrada em um log dizendo quando passwd
foi executado & por quem, semelhante a:
Mar 31 12:41:41 UBUNTU sudo: daniel : TTY=pts/1 ; PWD=/dev ; USER=root ; COMMAND=/usr/bin/passwd root
Mar 31 12:41:52 UBUNTU passwd[25160]: (pam_unix) password changed for root
Mar 31 12:41:52 UBUNTU passwd[25160]: (pam_unix) Password for root was changed
O arquivo de log varia dependendo da distro, deve estar em algum lugar em /var/log
, então algo assim deve procurar em todos eles (exceto talvez arquivos antigos com gz, tente zgrep
?):
grep -R -i passwd /var/log/*
Provavelmente em /var/log/auth.log
no Debian, ou /var/log/secure
no Redhat
Mas se esse usuário puder executar qualquer comando, ele poderá editar os registros também ... então, assista a um acesso ilimitado ao sudo.
Mais informações:
- As alterações da senha do root estão registradas?
- Como registrar comandos dentro de um “sudo su -”? - Adicione log_input / output aos sudoers, auditctl, snoopylogger, ...
- Detalhes sobre comandos do sudo executados por todos os usuários
- Onde estão registrados os incidentes do sudo? - O melhor: " É registrado remotamente : xkcd.com/838 "