Quando você executa passwd como root, não é solicitada a senha antiga. Como qualquer outro usuário, você será solicitado pela senha antiga.
Estou em uma situação muito estranha. Algumas horas atrás, a Rackspace emitiu um bilhete dizendo que há uma inundação de saída originada no meu servidor.
Pensando que o servidor pode ter sido rooteado com um rootkit, executei varreduras do chkrootkit e nada apareceu.
Então, decidi alterar a senha do ssh e foi isso que aconteceu.
$ passwd <<username>>
Enter new UNIX password:
Retype new UNIX password:
passwd: password updated successfully
Quando fiz exatamente a mesma coisa em outro Ubuntu 11.10, isso aconteceu.
$ passwd <<username>>
Changing password for username.
(current) UNIX password:
Enter new UNIX password:
Retype new UNIX password:
passwd: password updated successfully
Portanto, em um servidor (suspeito de ter sido atacado) o comando passwd não solicita a senha "anterior" antes de alterar a senha. No outro servidor, isso acontece.
Eu verifiquei os logs de acesso nginx e encontrei as chamadas http originárias do formulário "localhost". Acho que pode haver um script suspeito em execução no servidor.
Pode ser possível que o sistema esteja comprometido?
Por fim, gostaria de perguntar se alguém sabe de uma boa verificação de rootkit que eu poderia executar no servidor. Eu não estou pedindo por uma bala de prata, mas algo que vocês costumam usar. Sou relativamente novo na segurança do servidor.
Obrigado pessoal!
Quando você executa passwd como root, não é solicitada a senha antiga. Como qualquer outro usuário, você será solicitado pela senha antiga.