No.4ベストアンサー
- 回答日時:
1003というユーザは作っていないわけですね?もとのファイルは消
されてしまったでしょうか?もしまだ残っていたり、1003のファイ
ルが他にあれば、fileコマンドでlinuxのバイナリかどうかチェッ
クできるでしょうか? find / -user 1003 -print とかもされたで
しょうか?
それにしても、login, ls, netstat, ps というと侵入の定番です
から、疑っておく方がいいと思います。単に一回侵入してみるだけ
では、痕跡を消すまでもないのでほっておいたという可能性もあり
ます。または、それらのファイルを囮にしておいて、それを戻した
から安心と思っていたら、別の穴を開けられていたということもあ
るかもしれません。
もし可能なら、再インストールした方がいいような気がします。
この回答への補足
>それにしても、login, ls, netstat, ps というと侵入の定番です
おっしゃる通り、まんまとやられてました。
/usr/local/srcに.puta(仕込まれたlsでは-laで見えないらしい)ディレクトリが作られ、トロイの木馬ツール一式がセットされていました。 サイテー。。。
punchan_jpさんへのお礼の所へ書いてすみませんが、という訳でログインできなかったのは外部からの侵入者による仕業と判明しました。 どうもお騒がせしました。 尚、ご興味のある方はGoogleなどで"t0rnsniff"をキーに検索されると私と同じものがヒットします。 侵入方法についてはよくわかりませんが、RedHat6.2Jをインストールしたままの状態にしておいたため、BINDあるいはwu-ftpdのroot権限を横取りするセキュリティホールを突かれたかと思います。セキュリティの情報はしっかり読んで対処した方がいいですね。 ではどうもありがとうございました。
No.3
- 回答日時:
アホみたいな確認ですが、各ユーザのホームディレクトリ
はありますよね?
以前は、ログインできていたのにということならば
ホームディレクトリが無いということはないと思い
ますが、、、。
別の可能性としては、/etc/shellsに、ログイン時
に使用するシェルが書いてありますか?
昔、SlackWareではまったことがあります。
各ユーザがログイン時に使用するシェルは/etc/passwd
の一番最後のフィールドに書いてあります。
あと、~/.xsessionの設定ミスがあるとログインできな
くなります。
/etc/hosts.allow, /etc/hosts.denyは、ネット
ワーク越しのログインでしか使わないので、無関係です。
余計ですが、shadowは直接編集しない方がいいですよ。
RedHat系ならば基本的には、chsh,passwdや
linuxconfで設定すれば、/etc/passwdとともに
/etc/shadowも更新されるはずです。
# 手で/etc/passwdを編集した場合は、pwconvで
# shadowを更新してやる形になります。
この回答への補足
どうもありがとうございます。 アドバイス頂いた所確認してみましたが、特に問題ありませんでした。
うーむ、、、。
------------
その後PAMの資料(PAM System Admin Guide)に"If something goes wrong"という項を見つけ、書いてあった方法でotherというconfファイルを作ってやってみました。これによると、
Now you have the simplest possible PAM configuration that will work the way you're used to. Everything should
magically start to work again. Try it out by hitting ALT-F2 and logging in on another virtual console.
という風には全然ならなくて、^^;
If it doesn't work, you have bigger problems, or you've mistyped something.
何度見てもmistypeはないので"bigger problems"が起きてしまったという事なんでしょうか...(bigger problemsの可能性もかいといて欲しい...^^)
本当に普通に使っていただけ、というよりはほとんど何もしていなかったはずなので、なるべく原因究明したいと思っています。 実はこのマシン、Internetへ直結しているのですが、入られた可能性もあるかな、と思っています。 引き続きアドバイスよろしくお願いします。
------------
その後について、、、
念のため/bin/loginを調べたらなんと書き変わっていました。/binを調べただけですが
login -> sizeが5696に、ownerが1003になっていた
ls -> sizeが139979に、ownerが1003になっていた
netstat、psはサイズは変わらずownerはやはり1003に
ちなみにgroupは全てrootのままです。
という訳で、loginを他のマシンからコピーしてやったログインできる様になりました。
rpmはもちろん、インストールなどもやっていないにも関わらず、この様にlogin等が書き変わってしまう可能性ってあるのでしょうか。 それとも外から入られたと考えるべきか。。。 ちなみにlog関係を調べてみましたが怪しい記録はなく、またたとえ痕跡を消したにしても肝心のloginのownerやsizeをほったらかし、というのも考えにくく、外から入られたとはあまり思えません。 何か同じような経験をされた方、心当たりのある方いらっしゃいませんか?
No.2
- 回答日時:
/etc/pam.d というディレクトリはありますか?
その中に login というファイルはありますか?
その中の記述は
#%PAM-1.0
#auth required /lib/security/pam_securetty.so
auth required /lib/security/pam_pwdb.so shadow nullok
auth required /lib/security/pam_nologin.so
account required /lib/security/pam_pwdb.so
password required /lib/security/pam_cracklib.so
password required /lib/security/pam_pwdb.so nullok use_authtok md5 shadow
session required /lib/security/pam_pwdb.so
session optional /lib/security/pam_console.so
↑このようになっていますか
(上の内容はインストールしたそのままの状態です)
以前Turboでpam.dのディレクトリごと
別の場所に移っていたことがありましたので参考まで・・・
この回答への補足
どうもありがとうございます。 1行目のコメントアウト以外、違いはありませんでした。 1行目は他のマシンでも#が付いていたので、私の方のディストリビューションのデフォルトかと思います。
補足日時:2000/12/04 13:04No.1
- 回答日時:
ログインに失敗したときに何かメッセージは表示されませんか?
RedHatのデフォルトを知りませんが、Xを動かしてそこからログイ
ンしようとしている場合は、Xを止めてコンソールから入ってみる
ことはできるでしょうか?
すべてのアカウントが同時にだめになったとすると、共通のシェル
があるならそれも疑うといいでしょう。single なら /bin/sh が動
くでしょうが、root や他のアカウントは何を使っていますか?
この回答への補足
早速ありがとうございます。 メッセージは"Login Incorrect"以外何も表示されません。 ログインはマシンブート後の通常のTEXTモード(コンソール)です。(XのGUIログインではなく)
シェルはbashですが試しにzsh(shはbashにリンクされているので)にしてもダメでした。
うーん、困った...
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- Chrome(クローム) 仕事で使っているGmailがログインできません。 ログインすると、 「組織がプロフィールの作成を求め 1 2022/06/16 08:40
- その他(ブラウザ) 新たなPCを入れた場合のブラウザーの諸設定の引継ぎについて。 4 2022/05/29 16:05
- Chrome(クローム) 【Google】「同期は有効です」と表示されているがブックマークが同期されていない 2 2022/11/17 13:32
- Firefox(ファイヤーフォックス) Firefoxで設定を「前回のウィンドウとタブを開く」にしてるのにタブがなくなる 2 2022/09/28 18:23
- Yahoo!メール YahooIDをパスワード形式にしただけなのに、利用規約違反とされて電話番号が使えなくなりました 3 2023/03/25 04:08
- その他(セキュリティ) PCとスマホのクラッキング、ハッキングに困っています 2 2022/10/09 22:36
- PHP php ログイン 1 2022/11/01 00:24
- その他(セキュリティ) アカウントの乗っ取りで質問です。長いです。 先月ツイッターの乗っ取りにあい、アカウントを全て新しくし 2 2022/03/25 20:47
- その他(データベース) 更新クエリをリンクデータベーステーブルに実行し実行時エラー3362固有インデックスに重複する値が含ま 1 2022/09/21 11:44
- Chrome(クローム) 入力フォームの履歴を消したい 2 2023/06/29 13:02
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
Viで書き込もうとすると、保...
-
書き込み権限が無いためコピー...
-
メールサーバの/var/spool/mail...
-
/etc/passwd と /etc/shadowを...
-
Rootという国
-
FTPコマンドの戻り値について
-
scpコマンドでリモートサーバの...
-
lsコマンドで表示するファイル...
-
findでエラー
-
「Linuxでネットワークドライブ...
-
Warning: Output is not to
-
/ が何時の間にか「Read-only f...
-
telnet へのパイプができないです
-
lsコマンドの色設定が反映されない
-
DOSコマンドでのワイルドカ...
-
ログイン状態になっているゾン...
-
AIX ksh利用 grep 検索で マ...
-
リモートシェルでファイルをroo...
-
OS がインストールされているデ...
-
poderosa 操作方法について
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
書き込み権限が無いためコピー...
-
Viで書き込もうとすると、保...
-
/etc/passwd と /etc/shadowを...
-
メールサーバの/var/spool/mail...
-
GUIでのroot権限取得について
-
maillog内のsendmailエラー
-
VistaとCentOSのデュアルブート...
-
シェルスクリプトでのechoについて
-
RedHat8.0でrootでログインでき...
-
grubのmenu.lstを書き直したい
-
/var/mailのディレクトリにある...
-
DHCPサーバの停止方法
-
Puppy Linuxで cr...
-
RedHat でデフォルトで走ってい...
-
Fedora9でGUI環境で使用してい...
-
バイナリc-kermitのロックファ...
-
scpコマンドでリモートサーバの...
-
/ が何時の間にか「Read-only f...
-
コマンド終了ステータス
-
FTPコマンドの戻り値について
おすすめ情報