linux服务器异常重启,发现系统里面多出很多看不懂文件,几天后root用户被黑,登入不了。 处理过程:
1. 进入linux单用户模式进行重置密码。详细见百度百科:
https://jingyan.baidu.com/article/7e440953f87f4a2fc0e2ef90.html
(修改成功后,登入root依然失败)
2. 单用户模式进入目录 /etc/inittab 把 id:3:initdefault: #使用5代表桌面模式,3代表命令模式
(修改成功后,登入root后输入密码,又出现一个登入)
3. /etc/securetty文件 查看有没有限制root登入
正常的/etc/securetty文件内容:
console
vc/1
vc/2
vc/3
vc/4
vc/5
vc/6
vc/7
vc/8
vc/9
vc/10
vc/11
tty1
tty2
tty3
tty4
tty5
tty6
tty7
tty8
tty9
tty10
tty11
console
vc/1
vc/2
vc/3
vc/4
vc/5
vc/6
vc/7
vc/8
vc/9
vc/10
vc/11
tty1
tty2
tty3
tty4
tty5
tty6
tty7
tty8
tty9
tty10
tty11
(查看后没发现问题)
4.
/etc/ssh/sshd_config 查看文件是否有限制root登入命令
PermitRootLogin no 请改成 PermitRootLogin yes
(查看后没发现问题)
5./etc/pam.d/ 查看文件是否有限制root登入命令
6 .怀疑ssh服务没开,实际上重启linux自动打开默认的22端口可以访 问
7.grep :x:0: /etc/passwd 执行该命令,查看是否有新建root权限用户
发现有2个
一个是root 一个是servlet
确定系统被入侵
8.单用户模式把passwd文件servlet用户删除。
9.修改 /etc/sudoers 文件,找到%wheel一行,把前面的注释(#)去掉,把servlce ALL=(ALL) ALL 这行删除。
10.passwd文件被侵入导致换行符变成了DOS格式(正常是unix格式),结果linux系统认为shell路径是/bin/bash^M,返回路径不存在错误,导致了root无法登录。 把passwd文件下^M全部删除。
11.重启reboot. root用户用我们改的密码登入成功。
12.发现系统很多入侵的异常文件。
13.准备把服务器数据 日志 等导出后重装系统。
后续发现原因: 系统后台密码被破解 密码太过简单 建议密码设置14位以上多重组合密码。测试服务器也要保证安全。
架构版本低,存在漏洞。