Redhat的root用戶在本地登錄不了

spallation

大俠們，救命呀。有臺(tái)rhel4.6被攻擊了，不知道被注入了什么木馬，不停的仿冒不同源地址往外發(fā)大量數(shù)據(jù)包，造成網(wǎng)絡(luò)設(shè)備丟包嚴(yán)重，時(shí)斷時(shí)續(xù)。
另外，現(xiàn)在系統(tǒng)的root用戶在本地登錄不了，但是遠(yuǎn)程ssh可以？請問1、root用戶在本地登錄不了應(yīng)該怎么解決，2、上述想象，會(huì)是被安裝了什么程序？

taojie2000

/etc/passwd  ?     pam ?

spallation

回復(fù) 2# taojie2000


    etc/passwd沒有異常，整個(gè)log目錄被刪掉了，還有什么方法能查到日志嗎？

chenyx

遠(yuǎn)程可以?那就檢查下系統(tǒng),找出那個(gè)發(fā)包的程序,先停止
然后再檢查下系統(tǒng)啟動(dòng)項(xiàng),看看有沒有非法的程序.
日志被刪除,很難恢復(fù)的.

archive123

netstat -anp   查找啟動(dòng)的服務(wù)和建立的鏈接
ps -ef 查找進(jìn)程的CMD，找出啟動(dòng)文件位置
殺掉進(jìn)程，刪除文件


最好能備份數(shù)據(jù)，重裝操作系統(tǒng)

spallation

感謝你們，我查了一下mail，自從被攻擊進(jìn)來后，一直在發(fā)這個(gè)郵件
Subject: Cron <root@xy> /usr/lib64/sa/sa1 1 1
X-Cron-Env: <SHELL=/bin/sh>
X-Cron-Env: <HOME=/root>
X-Cron-Env: <PATH=/usr/bin:/bin>
X-Cron-Env: <LOGNAME=root>
X-Cron-Env: <USER=root>
Cannot open /var/log/sa/sa04: No such file or directory
這里有神馬線索嗎？

spallation

查到了是個(gè).xsyslog 的進(jìn)程，殺掉就好了。。。就是不知道怎么根除，還在研究中。

chenyx

樓主的服務(wù)器主要是干什么用的?如果是web,檢查下看看是不是sql注入