Login Incorrect(RH6.2J)

先輩諸兄
RedHat6.2Jでいきなりログインできなくなってしまいました。rootは勿論、他のアカウント(とは言っても2つしかないのですが)も同様です。single userで入り、passwdで再設定してもダメでした。pwck,grpckでも特にエラーはなく、パスワードの有効期限を疑いshadowを他のマシンを参考に書き換えてみてもだめ。
関係ないかもしれませんがhost.deny,allowも見てみました。　何か他にチェックすべき点、ありますでしょうか。　よろしくお願いします。

No.4 ベストアンサー 回答者： punchan_jp 回答日時： 2000/12/07 17:52

1003というユーザは作っていないわけですね？もとのファイルは消

されてしまったでしょうか？もしまだ残っていたり、1003のファイ
ルが他にあれば、fileコマンドでlinuxのバイナリかどうかチェッ
クできるでしょうか？ find / -user 1003 -print とかもされたで
しょうか？

それにしても、login, ls, netstat, ps というと侵入の定番です
から、疑っておく方がいいと思います。単に一回侵入してみるだけ
では、痕跡を消すまでもないのでほっておいたという可能性もあり
ます。または、それらのファイルを囮にしておいて、それを戻した
から安心と思っていたら、別の穴を開けられていたということもあ
るかもしれません。

もし可能なら、再インストールした方がいいような気がします。

この回答への補足

>それにしても、login, ls, netstat, ps というと侵入の定番です

おっしゃる通り、まんまとやられてました。
/usr/local/srcに.puta(仕込まれたlsでは-laで見えないらしい)ディレクトリが作られ、トロイの木馬ツール一式がセットされていました。　サイテー。。。

補足日時：2000/12/07 22:48

この回答へのお礼

punchan_jpさんへのお礼の所へ書いてすみませんが、という訳でログインできなかったのは外部からの侵入者による仕業と判明しました。　どうもお騒がせしました。　尚、ご興味のある方はGoogleなどで"t0rnsniff"をキーに検索されると私と同じものがヒットします。　侵入方法についてはよくわかりませんが、RedHat6.2Jをインストールしたままの状態にしておいたため、BINDあるいはwu-ftpdのroot権限を横取りするセキュリティホールを突かれたかと思います。セキュリティの情報はしっかり読んで対処した方がいいですね。　ではどうもありがとうございました。

お礼日時：-0001/11/30 00:00

No.3 回答者： pks2155-304 回答日時： 2000/12/04 04:18

アホみたいな確認ですが、各ユーザのホームディレクトリ

はありますよね?

以前は、ログインできていたのにということならば
ホームディレクトリが無いということはないと思い
ますが、、、。

別の可能性としては、/etc/shellsに、ログイン時
に使用するシェルが書いてありますか?
昔、SlackWareではまったことがあります。

各ユーザがログイン時に使用するシェルは/etc/passwd
の一番最後のフィールドに書いてあります。

あと、~/.xsessionの設定ミスがあるとログインできな
くなります。

/etc/hosts.allow, /etc/hosts.denyは、ネット
ワーク越しのログインでしか使わないので、無関係です。

余計ですが、shadowは直接編集しない方がいいですよ。
RedHat系ならば基本的には、chsh,passwdや
linuxconfで設定すれば、/etc/passwdとともに
/etc/shadowも更新されるはずです。

# 手で/etc/passwdを編集した場合は、pwconvで
# shadowを更新してやる形になります。

この回答への補足

どうもありがとうございます。　アドバイス頂いた所確認してみましたが、特に問題ありませんでした。
うーむ、、、。

－－－－－－－－－－－－
その後PAMの資料(PAM System Admin Guide)に"If something goes wrong"という項を見つけ、書いてあった方法でotherというconfファイルを作ってやってみました。これによると、
Now you have the simplest possible PAM configuration that will work the way you're used to. Everything should
magically start to work again. Try it out by hitting ALT-F2 and logging in on another virtual console.
という風には全然ならなくて、^^;
If it doesn't work, you have bigger problems, or you've mistyped something.
何度見てもmistypeはないので"bigger problems"が起きてしまったという事なんでしょうか...(bigger problemsの可能性もかいといて欲しい...^^)
本当に普通に使っていただけ、というよりはほとんど何もしていなかったはずなので、なるべく原因究明したいと思っています。　実はこのマシン、Internetへ直結しているのですが、入られた可能性もあるかな、と思っています。　引き続きアドバイスよろしくお願いします。

－－－－－－－－－－－－
その後について、、、

念のため/bin/loginを調べたらなんと書き変わっていました。/binを調べただけですが

login -> sizeが5696に、ownerが1003になっていた
ls -> sizeが139979に、ownerが1003になっていた
netstat、psはサイズは変わらずownerはやはり1003に
ちなみにgroupは全てrootのままです。
という訳で、loginを他のマシンからコピーしてやったログインできる様になりました。

rpmはもちろん、インストールなどもやっていないにも関わらず、この様にlogin等が書き変わってしまう可能性ってあるのでしょうか。　それとも外から入られたと考えるべきか。。。　ちなみにlog関係を調べてみましたが怪しい記録はなく、またたとえ痕跡を消したにしても肝心のloginのownerやsizeをほったらかし、というのも考えにくく、外から入られたとはあまり思えません。　何か同じような経験をされた方、心当たりのある方いらっしゃいませんか？

補足日時：2000/12/04 13:06

No.2 回答者： noname#8947 回答日時： 2000/12/01 10:42

/etc/pam.d というディレクトリはありますか？

その中に login というファイルはありますか？
その中の記述は
#%PAM-1.0
#auth required /lib/security/pam_securetty.so
auth required /lib/security/pam_pwdb.so shadow nullok
auth required /lib/security/pam_nologin.so
account required /lib/security/pam_pwdb.so
password required /lib/security/pam_cracklib.so
password required /lib/security/pam_pwdb.so nullok use_authtok md5 shadow
session required /lib/security/pam_pwdb.so
session optional /lib/security/pam_console.so
↑このようになっていますか
（上の内容はインストールしたそのままの状態です）

以前Turboでpam.dのディレクトリごと
別の場所に移っていたことがありましたので参考まで・・・

この回答への補足

どうもありがとうございます。　1行目のコメントアウト以外、違いはありませんでした。　1行目は他のマシンでも#が付いていたので、私の方のディストリビューションのデフォルトかと思います。

補足日時：2000/12/04 13:04

No.1 回答者： punchan_jp 回答日時： 2000/12/01 09:57

ログインに失敗したときに何かメッセージは表示されませんか？

RedHatのデフォルトを知りませんが、Xを動かしてそこからログイ
ンしようとしている場合は、Xを止めてコンソールから入ってみる
ことはできるでしょうか？

すべてのアカウントが同時にだめになったとすると、共通のシェル
があるならそれも疑うといいでしょう。single なら /bin/sh が動
くでしょうが、root や他のアカウントは何を使っていますか？

この回答への補足

早速ありがとうございます。　メッセージは"Login Incorrect"以外何も表示されません。　ログインはマシンブート後の通常のTEXTモード(コンソール)です。(XのGUIログインではなく)
シェルはbashですが試しにzsh(shはbashにリンクされているので)にしてもダメでした。
うーん、困った...

補足日時：2000/12/01 10:29