这令人沮丧。我经常能够使用 root 密码登录。然后我就无法再登录了。但是,我仍然处于登录状态。因此我的密码必须正确。
我用 更改了 root 密码passwd
。它又起作用了。有时后来这种情况会再次发生。
就好像 root 密码一直自动更改一样。有人入侵了我的服务器吗?
答案1
假设有人在玩弄你的盒子或搞某种恶作剧,并且他们没有掩盖他们的踪迹。
检查登录历史记录
通过命令行
w
last
通过日志文件
/var/log/auth.log (debian/ubuntu)
/var/log/secure (RedHat/CentOS/Fedora?)
其他可能性
- 你的盒子是一个虚拟机,并且有一些如何不断回滚到以前的状态(快照)。
- 许多 VPS 实际上会重置您的 root 密码。您必须使用供应商/托管 Web 界面来更改 root 密码。否则它只会不断变回前一个。
答案2
我只是想分享正在发生的事情。
我是提出这个问题的人,这是一个非常古老的反复出现的问题。
这个问题可以在这里看到:
http://hostechs.com/2008/10/user-root-blocked-cphulk-brute-force-protection/
我正在使用cpanel。
Cpanel 有 cphulk,可以保护机器免受强力日志记录。
问题是,
很多人都遇到过同样的问题。解决方案是确保您的 IP 被 cphulk 列入白名单。另外,重新启动机器有时可能会起作用一段时间。没有简单的解决方案。
答案3
在查看有关此问题的其他帖子时,我遇到了有关如何检查系统是否感染的信息..
运行任一程序:
rkhunter
chkrootkit
验证二进制文件的完整性
rpm -Va .
确认所有 root 拥有的文件都打开了 suid 位。无论用户是谁,任何此类文件都会以 root 身份执行。使用:
find / -perm 4755
生成的文件将具有 rwsr-xrx 权限。 “s”告诉您 suid 位已打开。因为它可以由任何用户(最终的 rx)执行,这意味着任何用户都可以以 root 身份运行它。我对 4777、4775、4755 等中的每一个运行查找... - 基本上对于除用户(root)之外的任何人都能够写入文件的任何模式(因此没有理由搜索 4744,因为尽管它是其他人都可读,只有 root 可以写入。)
http://www.linuxquestions.org/questions/linux-security-4/root-password-keeps-changing-372647/
另外要重置密码:从 GRUB 启动菜单中,添加到 linux16 行 ...
rw init=/bin/bash
按ctrl-x
重置root密码
passwd
重置用户密码
passwd [user]
touch / .autorelabel
/sbin/reboot -f
http://linuxbsdos.com/2015/03/19/how-to-reset-passwords-on-fedora-21-and-22/
此外,在受影响的系统上发现了 Linux.Xor.DDoS 木马。仍在寻找如何删除它。但是,防止其进入的有效方法是使用私钥。
如果您还运行 SSH 服务器,请确保使用强密码设置密钥身份验证,然后仅关闭密码身份验证。这会强制 SSH 使用您设置的公钥/私钥进行身份验证。由于攻击者没有适当的密钥,系统只会断开连接,因此几乎不可能进行暴力破解。
ssh-keygen -t rsa
按照说明输入密码并将密钥存储到文件中。现在将密钥复制到您想要 ssh 的计算机:
ssh-copy-id username@remote_host
最后,转移密钥后,您应该能够使用以下命令登录:
ssh username@remote_host
禁用 SSH 密码验证:
cd /etc/ssh
cp sshd_config sshd_config.orig
vi sshd_config
更改以下设置
PermitRootLogin no
PasswordAuthentication no
UsePAM no
重启SSH
/etc/init.d/ssh restart
https://www.howtoforge.com/set-up-ssh-with-public-key-authentication-debian-etch
答案4
我的猜测是网络上有另一台机器具有相同的 IP 地址,并且它们正在发生冲突。有时您登录到您的服务器,有时登录到流氓服务器。