LINUX.ORG.RU

Взлом сервера

 , ,


0

1

Здравствуйте!

Недавно обнаружил, что один из серверов был взломан. Сразу закрыл доступ к серверу из вне. Но обнаружил следующую проблему. При выполнении команды например: su -, происходит запрос пароля несколько раз:

Пароль: 
Пароль: 
Пароль: 

При этом пароль root с первого раза введен правильно.

При этом в логе /var/log/secure вот что:

Oct  2 18:16:02 hostname su: pam_unix(su-l:auth): authentication failure; logname= uid=501 euid=0 tty=pts/5 ruser=rails rhost=  user=root
Oct  2 18:16:15 hostname su: pam_succeed_if(su-l:account): unrecognized option [uid]
Oct  2 18:16:15 hostname su: pam_succeed_if(su-l:account): unrecognized option [<]
Oct  2 18:16:15 hostname su: pam_succeed_if(su-l:account): unrecognized option [500]
Oct  2 18:16:15 hostname su: pam_succeed_if(su-l:account): unrecognized option [quiet]
Oct  2 18:16:17 hostname su: pam_succeed_if(su-l:account): authentication failure; logname= uid=501 euid=0 tty=pts/5 ruser=rails rhost=  user=root
Oct  2 18:16:17 hostname su: pam_succeed_if(su-l:session): unrecognized option [service]
Oct  2 18:16:17 hostname su: pam_succeed_if(su-l:session): unrecognized option [in]
Oct  2 18:16:17 hostname su: pam_succeed_if(su-l:session): unrecognized option [crond]
Oct  2 18:16:17 hostname su: pam_succeed_if(su-l:session): unrecognized option [quiet]
Oct  2 18:16:17 hostname su: pam_succeed_if(su-l:session): unrecognized option [use_uid]
Oct  2 18:16:18 hostname su: pam_unix(su-l:session): session opened for user root by (uid=501)
Oct  2 18:16:18 hostname su: PAM 1 more authentication failure; logname= uid=501 euid=0 tty=pts/5 ruser=username rhost=  user=root

Посоветуйте куда смотреть, что делать. Переустановить систему, пока не представляется возможным. Так получилось, что резервных копий тоже нет.

Сразу скажу, что конфигурационные файлы /etc/pam.d/* не изменялись.

Вариант — команда su тем или иным образом подменена.

greenman ★★★★★ ()

пройдись ркхантером и тому подобными прогами,
после выполни
aptitude reinstall ~i
если у тебя дебиан

Deleted ()

И используй теги [code], а не [quote]

greenman ★★★★★ ()

session opened for user root by (uid=501)

рут обычно с uid=0

Deleted ()
Ответ на: комментарий от alxgordienko

почему-то сразу так и подумал что оно

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.