亚洲av成人无遮挡网站在线观看,少妇性bbb搡bbb爽爽爽,亚洲av日韩精品久久久久久,兔费看少妇性l交大片免费,无码少妇一区二区三区

Chinaunix

標題: Redhat的root用戶在本地登錄不了 [打印本頁]

作者: spallation 時間: 2011-12-06 22:12
標題: Redhat的root用戶在本地登錄不了
大俠們，救命呀。有臺rhel4.6被攻擊了，不知道被注入了什么木馬，不停的仿冒不同源地址往外發(fā)大量數(shù)據(jù)包，造成網(wǎng)絡(luò)設(shè)備丟包嚴重，時斷時續(xù)。
另外，現(xiàn)在系統(tǒng)的root用戶在本地登錄不了，但是遠程ssh可以？請問1、root用戶在本地登錄不了應(yīng)該怎么解決，2、上述想象，會是被安裝了什么程序？

作者: taojie2000 時間: 2011-12-06 22:32
/etc/passwd ? pam ?

作者: spallation 時間: 2011-12-06 22:44
回復(fù) 2# taojie2000

etc/passwd沒有異常，整個log目錄被刪掉了，還有什么方法能查到日志嗎？

作者: chenyx 時間: 2011-12-06 23:07
遠程可以?那就檢查下系統(tǒng),找出那個發(fā)包的程序,先停止
然后再檢查下系統(tǒng)啟動項,看看有沒有非法的程序.
日志被刪除,很難恢復(fù)的.

作者: archive123 時間: 2011-12-06 23:13
netstat -anp 查找啟動的服務(wù)和建立的鏈接
ps -ef 查找進程的CMD，找出啟動文件位置
殺掉進程，刪除文件

最好能備份數(shù)據(jù)，重裝操作系統(tǒng)

作者: spallation 時間: 2011-12-07 00:08
感謝你們，我查了一下mail，自從被攻擊進來后，一直在發(fā)這個郵件
Subject: Cron <root@xy> /usr/lib64/sa/sa1 1 1
X-Cron-Env: <SHELL=/bin/sh>
X-Cron-Env: <HOME=/root>
X-Cron-Env: <PATH=/usr/bin:/bin>
X-Cron-Env: <LOGNAME=root>
X-Cron-Env: <USER=root>
Cannot open /var/log/sa/sa04: No such file or directory
這里有神馬線索嗎？

作者: spallation 時間: 2011-12-07 00:46
查到了是個.xsyslog 的進程，殺掉就好了。。。就是不知道怎么根除，還在研究中。

作者: chenyx 時間: 2011-12-07 08:22
樓主的服務(wù)器主要是干什么用的?如果是web,檢查下看看是不是sql注入

歡迎光臨 Chinaunix (http://www.72891.cn/)