Chinaunix
标题:
rhel as4 u5 被黑,不能使用ssh登陆,求解决办法.
[打印本页]
作者:
codeano
时间:
2007-11-30 14:26
标题:
rhel as4 u5 被黑,不能使用ssh登陆,求解决办法.
刚装的linux就被黑了,ssh不能正常登陆
[root@xxx in]# ssh <被黑的IP>
root@被黑的IP's password:
Connection to 被黑的IP closed by remote host.
Connection to 被黑的IP closed.
检查了hosts.deny和hosts.allow文件,无任何内容.
检查了/etc/init.d/sshd,/etc/ssh/ssh_config,/etc/ssh/sshd_config,均无异常.
不知道是做了什么手脚,现在root用户输入密码居然是明文的了,晕啊!
高手来救我~~~~~~
作者:
yuio654
时间:
2007-11-30 14:45
关注下
…………………
作者:
codeano
时间:
2007-11-30 16:06
哇,没人救我,两天啦
作者:
achlice
时间:
2007-11-30 16:09
是一台服务器吗? /bin /log in 被 换掉了, getty 也被 换掉了
可能中了 rookit
ssh 连不上,那你怎么看的 hosts.deny和hosts.allow?
用本地的nmap 扫描 一下远程中招的机器,看 22 端口 是不是开的。
能不能把 情况再详细 一点?
作者:
fuleru
时间:
2007-11-30 17:34
我种情况我一般是选择重新安装。
作者:
cexoyq
时间:
2007-11-30 19:35
关注,我还只是遇到扫描。还没碰到这种。
作者:
cai120120
时间:
2007-11-30 19:57
还要看看pam模块有没有被改,建议还是重装吧!!!!!!!!!!!!!!!!!!!!!!!!
作者:
cai120120
时间:
2007-11-30 19:58
想知道他是怎么入侵的!!
作者:
codeano
时间:
2007-12-03 08:44
22端口是开的,我用ssh -p换了个1422端口,连还是出现:
Connection to 被黑的IP closed by remote host.
Connection to 被黑的IP closed.
我也怀疑pam模块被动过了,只能重新安装吗?
作者:
achlice
时间:
2007-12-03 09:22
你在被黑的机器上用 ssh 127.0.0.1 看看 出来什么 。
在看看 日志里 /var /log / secure 里面可能有详细的记录~~
作者:
daizhongxian
时间:
2007-12-03 09:43
关注中。。。
作者:
无声无息
时间:
2007-12-03 21:28
看日志?
估计已经被清除了,估计连命令的history也被清除了?
看看被开了那些端口,起了哪些服务,一个一个进程的查
作者:
andysibyl1
时间:
2007-12-04 17:18
同意4楼的说法,先检查下好.
还有建议用其他帐号测试下,会否ssh的root登陆权限被禁?!
欢迎光临 Chinaunix (http://bbs.chinaunix.net/)
Powered by Discuz! X3.2