<p>On 16 Feb 2011 12:34, "Nico Kadel-Garcia" <<a href="mailto:nkadel@gmail.com">nkadel@gmail.com</a>> wrote:<br>
><br>
> Uh-oh. Has your developer, or you, been editing the /etc/passwd,<br>
> /etc/shadow, /etc/group, or /etc/gshadow files manually? </p>
<p>Nope.</p>
<p>> And do you<br>
> use NIS or LDAP for authentication? </p>
<p>Nope.</p>
<p>> And this is a publicly exposed<br>
> webserver, right? How fast can you rebuild it if it's been rootkitted?</p>
<p>How long is a peice of string? As quick as I can reupload the data, but thats another issue for another day.</p>
<p>> Check the /etc/shadow and /etc/group for consistent numbers of<br>
> entries, and /etc/group and /etc/gshadow. </p>
<p>Do you mean duplicate entries? If so there are none of those.</p>
<p>> Do you have other users who<br>
> can still log in or not?</p>
<p>There is only the root and web dev user on this box. </p>
<p>Thanks for your input Nico :)</p>
<p>--James. (This email was sent from a mobile device)</p>