Chinaunix

标题: rhel as4 u5 被黑,不能使用ssh登陆,求解决办法. [打印本页]

作者: codeano 时间: 2007-11-30 14:26
标题: rhel as4 u5 被黑,不能使用ssh登陆,求解决办法.
刚装的linux就被黑了,ssh不能正常登陆

[root@xxx in]# ssh <被黑的IP>
root@被黑的IP's password:
Connection to 被黑的IP closed by remote host.
Connection to 被黑的IP closed.

检查了hosts.deny和hosts.allow文件,无任何内容.
检查了/etc/init.d/sshd,/etc/ssh/ssh_config,/etc/ssh/sshd_config,均无异常.
不知道是做了什么手脚,现在root用户输入密码居然是明文的了,晕啊!
高手来救我~~~~~~

作者: yuio654 时间: 2007-11-30 14:45
关注下
…………………

作者: codeano 时间: 2007-11-30 16:06
哇,没人救我,两天啦

作者: achlice 时间: 2007-11-30 16:09
是一台服务器吗？　 /bin /log in  被　　换掉了，　getty  也被　换掉了
可能中了　rookit
  ssh 连不上，那你怎么看的　hosts.deny和hosts.allow?
  用本地的nmap 扫描　一下远程中招的机器，看 22　端口　是不是开的。
　能不能把　情况再详细　一点？

作者: fuleru 时间: 2007-11-30 17:34
我种情况我一般是选择重新安装。

作者: cexoyq 时间: 2007-11-30 19:35
关注，我还只是遇到扫描。还没碰到这种。

作者: cai120120 时间: 2007-11-30 19:57
还要看看pam模块有没有被改,建议还是重装吧!!!!!!!!!!!!!!!!!!!!!!!!

作者: cai120120 时间: 2007-11-30 19:58
想知道他是怎么入侵的！！

作者: codeano 时间: 2007-12-03 08:44
22端口是开的,我用ssh -p换了个1422端口,连还是出现:
Connection to 被黑的IP closed by remote host.
Connection to 被黑的IP closed.
我也怀疑pam模块被动过了,只能重新安装吗?

作者: achlice 时间: 2007-12-03 09:22
你在被黑的机器上用 ssh 127.0.0.1 看看出来什么。
在看看日志里 /var /log / secure 里面可能有详细的记录～～

作者: daizhongxian 时间: 2007-12-03 09:43
关注中。。。

作者: 无声无息 时间: 2007-12-03 21:28
看日志？
估计已经被清除了，估计连命令的history也被清除了？
看看被开了那些端口，起了哪些服务，一个一个进程的查

作者: andysibyl1 时间: 2007-12-04 17:18
同意4楼的说法,先检查下好.

还有建议用其他帐号测试下,会否ssh的root登陆权限被禁?!

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)