Я восстанавливаю сервер после взлома и не могу исправить одну вещь:
Когда я подключаюсь к серверу по ssh (или scp), независимо от того, какой пароль я даю, он позволяет мне войти в систему. Я мало что знаю о протоколе ssh, но уверен, что он не должен этого делать.
Я проверил файл sshd_config, и единственные изменения - это те, которые я сделал (насколько я помню).
Еще одна мысль, которая у меня возникла, заключалась в том, что в файле / etc / passwd что-то не так, что мне не хватает. Кто-нибудь это видел?
Это будет звучать так, как будто на вашем сервере есть измененный двоичный набор SSH, я бы посоветовал запустить rkhunter и / или chkrootkit, если есть какие-либо установленные бэкдоры, если они будут найдены, я бы посоветовал прочитать их и очистить.
Также проверьте историю своих корневых учетных записей, чтобы узнать, что произошло, если злоумышленник оставил какие-либо следы.
Вы также можете переустановить пакет SSH (или любой другой пакет, который может быть использован) через ваш менеджер пакетов (rpm / apt-get или любой третий менеджер пакетов), который заменит двоичные файлы на двоичные файлы по умолчанию, перезапустите rkhunter и посмотрите, есть ли там еще какие-то совпадения.
И, наконец, вы можете проверить, в каких пакетах были изменены файлы, например, для систем на основе RPM:
Следующая команда перечислит любые изменения в пакетах RPM:
rpm -qa | xargs rpm --verify --nomtime | less
Если проверка не удалась, она покажет вам, какая часть не прошла:
c %config configuration file
d %doc documentation file
g %ghost file (i.e. the file contents are not included in the package payload).
l %license license file.
r %readme readme file.
S file Size differs
M Mode differs (includes permissions and file type)
5 MD5 sum differs
D Device major/minor number mismatch
L readLink(2) path mismatch
U User ownership differs
G Group ownership differs
T mTime differs
Выше из руководства по RPM - http://www.rpm.org/max-rpm/s1-rpm-verify-output.html
Еще одно решение - сделать резервную копию ваших данных и переустановить систему, когда позволит время, поскольку вам кажется, что сейчас вы находитесь в затруднительном положении.