Chinaunix

标题: Redhat的root用户在本地登录不了 [打印本页]

作者: spallation 时间: 2011-12-06 22:12
标题: Redhat的root用户在本地登录不了
大侠们，救命呀。有台rhel4.6被攻击了，不知道被注入了什么木马，不停的仿冒不同源地址往外发大量数据包，造成网络设备丢包严重，时断时续。
另外，现在系统的root用户在本地登录不了，但是远程ssh可以？请问1、root用户在本地登录不了应该怎么解决，2、上述想象，会是被安装了什么程序？

作者: taojie2000 时间: 2011-12-06 22:32
/etc/passwd ? pam ?

作者: spallation 时间: 2011-12-06 22:44
回复 2# taojie2000

etc/passwd没有异常，整个log目录被删掉了，还有什么方法能查到日志吗？

作者: chenyx 时间: 2011-12-06 23:07
远程可以?那就检查下系统,找出那个发包的程序,先停止
然后再检查下系统启动项,看看有没有非法的程序.
日志被删除,很难恢复的.

作者: archive123 时间: 2011-12-06 23:13
netstat -anp 查找启动的服务和建立的链接
ps -ef 查找进程的CMD，找出启动文件位置
杀掉进程，删除文件

最好能备份数据，重装操作系统

作者: spallation 时间: 2011-12-07 00:08
感谢你们，我查了一下mail，自从被攻击进来后，一直在发这个邮件
Subject: Cron <root@xy> /usr/lib64/sa/sa1 1 1
X-Cron-Env: <SHELL=/bin/sh>
X-Cron-Env: <HOME=/root>
X-Cron-Env: <PATH=/usr/bin:/bin>
X-Cron-Env: <LOGNAME=root>
X-Cron-Env: <USER=root>
Cannot open /var/log/sa/sa04: No such file or directory
这里有神马线索吗？

作者: spallation 时间: 2011-12-07 00:46
查到了是个.xsyslog 的进程，杀掉就好了。。。就是不知道怎么根除，还在研究中。

作者: chenyx 时间: 2011-12-07 08:22
楼主的服务器主要是干什么用的?如果是web,检查下看看是不是sql注入

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)