V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
mizufik
V2EX  ›  Linux

/root 权限莫名奇妙的被改了

  •  
  •   mizufik · 2017-12-22 11:27:34 +08:00 · 4926 次点击
    这是一个创建于 2517 天前的主题,其中的信息可能已经有所发展或是发生改变。
    有一个 linux sever
    ssh-copy-id 之后也成功了
    但是 用 key 一直登录不上去
    用密码登上去之后发现一条 /var/log/secure 的记录

    Dec 22 11:21:09 10-19-25-123 sshd[12475]: Authentication refused: bad ownership or modes for directory /root

    然后看了一下 /root 的权限
    drwxr-xr-x. 10 501 games 4096 Dec 21 05:40 root

    又看了一下 /root 下的几个文件夹也都被改了权限

    drwxr-xr-x 7 501 games 4096 Dec 21 02:17 .git
    drwxr-xr-x 5 501 games 4096 Dec 21 10:52 cxxxxp (一个 scapy 爬虫)


    这尼玛是啥玩意?难道被入侵了吗?我之前的密码是很复杂的啊。。。麻痹的。。。到底怎么回事。。。
    爬虫里面还有一个很重要的网站的用户名和密码
    13 条回复    2017-12-22 21:55:24 +08:00
    wlsnx
        1
    wlsnx  
       2017-12-22 12:03:55 +08:00
    /root/.git ?
    你不是 rsync -a 指定错目录了吧?
    defunct9
        2
    defunct9  
       2017-12-22 12:05:50 +08:00
    开 ssh 我上去看看
    mizufik
        3
    mizufik  
    OP
       2017-12-22 12:12:14 +08:00
    @wlsnx
    我看了一下 cat /root/.git/logs/HEAD 是我自己的记录
    但是这个 games 用户很奇怪 不知道哪里来的。。。。
    mizufik
        4
    mizufik  
    OP
       2017-12-22 12:12:48 +08:00
    @defunct9 这不可能。。。生产服务器啊
    mizufik
        5
    mizufik  
    OP
       2017-12-22 12:26:20 +08:00
    /var/log/secure 里找到几个 gamse 的这些信息。。。

    但貌似也没登录成功吧

    Dec 21 01:07:08 10-19-46-62 sshd[26743]: Invalid user syncro from 36.97.143.13
    Dec 21 01:07:08 10-19-46-62 sshd[26744]: input_userauth_request: invalid user syncro
    Dec 21 01:07:08 10-19-46-62 sshd[26743]: pam_unix(sshd:auth): check pass; user unknown
    Dec 21 01:07:08 10-19-46-62 sshd[26743]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=36.97.143.13
    Dec 21 01:07:08 10-19-46-62 sshd[26743]: pam_succeed_if(sshd:auth): error retrieving information about user syncro
    Dec 21 01:07:10 10-19-46-62 sshd[26743]: Failed password for invalid user syncro from 36.97.143.13 port 39767 ssh2
    Dec 21 01:07:10 10-19-46-62 sshd[26744]: Received disconnect from 36.97.143.13: 11: Bye Bye
    Dec 21 01:07:10 10-19-46-62 sshd[26745]: Invalid user sysgames from 36.97.143.13
    Dec 21 01:07:10 10-19-46-62 sshd[26746]: input_userauth_request: invalid user sysgames
    Dec 21 01:07:10 10-19-46-62 sshd[26745]: pam_unix(sshd:auth): check pass; user unknown
    Dec 21 01:07:10 10-19-46-62 sshd[26745]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=36.97.143.13
    Dec 21 01:07:10 10-19-46-62 sshd[26745]: pam_succeed_if(sshd:auth): error retrieving information about user sysgames
    Dec 21 01:07:12 10-19-46-62 sshd[26745]: Failed password for invalid user sysgames from 36.97.143.13 port 39997 ssh2
    Dec 21 01:07:12 10-19-46-62 sshd[26746]: Received disconnect from 36.97.143.13: 11: Bye Bye
    Dec 21 01:07:13 10-19-46-62 sshd[26747]: Invalid user sysgames from 36.97.143.13
    Dec 21 01:07:13 10-19-46-62 sshd[26748]: input_userauth_request: invalid user sysgames
    Dec 21 01:07:13 10-19-46-62 sshd[26747]: pam_unix(sshd:auth): check pass; user unknown
    Dec 21 01:07:13 10-19-46-62 sshd[26747]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=36.97.143.13
    Dec 21 01:07:13 10-19-46-62 sshd[26747]: pam_succeed_if(sshd:auth): error retrieving information about user sysgames
    Dec 21 01:07:14 10-19-46-62 sshd[26747]: Failed password for invalid user sysgames from 36.97.143.13 port 40246 ssh2
    Dec 21 01:07:14 10-19-46-62 sshd[26748]: Received disconnect from 36.97.143.13: 11: Bye Bye
    julyclyde
        6
    julyclyde  
       2017-12-22 13:49:43 +08:00
    501 一般是系统里第一个普通用户; games 在这里是 owner group
    这么看来,首先你的 /root 目录的 owner 被改了,其次 501 号用户被显示为 501,是因为无法找到 501 对应的用户名,也就是 passwd 文件,或者 nsswitch.conf 已经被破坏了

    /root/.git 存在,说明 /root 是一个 git repo。建议进去执行 git remote -v 看一下是从哪儿 clone 回来的
    怀疑有人在 /目录执行
    sudo git clone XXXrepo root
    命令,把你的 root 目录覆盖掉了
    Cooky
        7
    Cooky  
       2017-12-22 13:56:02 +08:00 via Android
    真黑进去能让你发现?不过也没准
    defunct9
        8
    defunct9  
       2017-12-22 14:27:30 +08:00
    @mizufik 开不了,我也帮不了你撒。这个问题需要多方面去查看记录和日志
    afpro
        9
    afpro  
       2017-12-22 15:27:42 +08:00
    楼上这哥们不止一处看到他直接让人家给他 ssh 了。。。
    heyang
        10
    heyang  
       2017-12-22 18:19:05 +08:00
    看看你上边装的有什么服务,去官方跟跟,有一类人扫 IP 段专门钻洞的
    查查进程,说不定是挖矿的。。
    ic3z
        11
    ic3z  
       2017-12-22 20:10:38 +08:00 via Android
    ps aux 进程来一份 记得脱敏
    zjp
        12
    zjp  
       2017-12-22 20:42:43 +08:00 via Android
    哪怕自己玩玩的服务器都不带开 ssh 给别人排查问题的吧。。。
    snnn
        13
    snnn  
       2017-12-22 21:55:24 +08:00 via Android
    被当跳板机给人用来攻击别的服务器了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1006 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 20:38 · PVG 04:38 · LAX 12:38 · JFK 15:38
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.