记一次服务器被黑,登录root账户显示"baga parola negrule"的问题:
-
普通账户可以登录,登录后发现被安装了GONME图行桌面,这个东西会限制root的登录。
-
百度发现很多人遇到此问题,主要原因为服务器由于弱口令被攻击,/root/.bashrc文件被改写,无法登录root账户。如下图(网上找的)parola字段为密码
-
各种尝试后发现因root权限限制被登录的问题造成无法修复/root/.bashrc文件。
记录以下修复步骤供大家参考:
step0:先进入普通账户,修改root的密码(具体能不能操作忘记了,如果不行,可进入下一步进入救援模式后再使用#passwd root修改).
step1:进入服务器救援模式
重启服务器,进入如下界面后,上下晃动鼠标,输入“e”进入GRUB页面!(网上找的类似的图)
进入后,找到linux?? 开头的一行!按向右的方向键,定位到ro 然后修改ro为rw ,并添加如下红框内的命令行 init=/sysroot/bin/sh!
按上图底部的提示使用“Ctrl-x”start!!!
step2:进入服务器救援模式
#chroot /sysroot 切换到正常系统中去!
step3:修改密码(如已操作跳过)
#passwd root
#touch /.autorelabel 注意一定要在修改完密码后,输入
step4:找到/root/.bashrc文件,如果没找到可能是被隐藏了,强行vim进去,改成正常的
# .bashrc
# Source global definitions
if [ -f /etc/bashrc ]; then
. /etc/bashrc
fi
step5:删除xmrig文件,不是在根目录就是在root下。
这个是网上推荐的,我的目录下是乱码 暂时没做删除。
step6:删除启动项
crontab -l 查看启动项列表,发现有几个突然冒出来的项
(此处没截图)
crontab -r 清空
systemctl restart crond 重启服务
step7:接下来重启就发现能进去了
先exit退出,再reboot重启。重启后就能用root登录了。
注意:记住,完事后记得修改复杂的root密码,修改命令不会的自己百度了。
仅供大家参考,欢迎有经验的补充。