O servidor amanheceu com o prompt de root alterado

djenir · 10-01-2006, 20:00

quando fui ver hoje de manhã o prompt do servidor que era root@localhost# estava como -bash-2.05b#, com tudo funcionando, menos os backups via rsync automáticos sem digitação da senha, é como se um servidor não reconhecesse mais o outro.
será que alguem pode me dizer o que aconteceu?
e como fazer pra voltar o que era antes?

obrigado.

**DropALL** · 10-01-2006, 20:09

Está parecendo que alguem entrou em modo single, você reseta e ele continua desse jeito??? Se sempre que rebootar voltar a isso veja /etc/inittab se existe uma linha assim:
id:1:initdefault:

Detalhe: esse procedimento é para "recuperar" a senha de root.

djenir · 12-01-2006, 13:50

Obrigado mesmo, eu demorei um pouco pra entrar no site e já tinha dado a resposta mas o banco foi pro sc.
Não resolveu, mas deu uma luz e fui verificar a pasta root, e algo ou alguem apagou tudo, só sobrou a pasta desktop.
eu tenho o redhat 9, será que tenho que reinstalar o sistema, ou é só copiar de um outro servidor?

**Marcio68Almeida** · 12-01-2006, 14:27

O ideal é refazer a instalação dos produtos que se encontrem com problemas...
Quanto ao seu servidor, tudo indica que ele foi invadido, é melhor rever a segurança, não só do acesso ao servidor quanto dos aplicativos.
Você não possui, eu espero, aplicativos como apache, bancos de dados, etc, sendo iniciados pelo root, né ???

Lion_Black · 13-01-2006, 12:41

muda a senha e fecha todas as portas de serviços de acesso remoto ... como o ssh e depois anilise sua segurança.. e so quando estiver preparado abra essas portas novamentes....

**DropALL** · 13-01-2006, 13:01

Postado originalmente por Lion_Black

muda a senha e fecha todas as portas de serviços de acesso remoto ... como o ssh e depois anilise sua segurança.. e so quando estiver preparado abra essas portas novamentes....

Ele tem 2 opções:
1) Ou DETONA, limpa tudo e reinstala todo o sistema de novo AGORA.
2) Ou poe essa maquina atrás de um firewall(e analisa todo o trafego passante nela até ele resolver reinstalar tudo), porque se a maquina foi mesmo invadida, só mesmo limpando ele porque nenhum chkroot ou rkhunter da vida pode garantir a integridade dessa maquina pois pode ter sido instalado algum rootkit desconhecido, alterado algum dado que passe despercebido, e etc...

INVASAO = QUEBRA DE INTEGRIDADE = FORMATAR

Ah sim, por favor né, quando restaurar cuidado pra não usar as mesmas senhas antigas.

djenir · 13-01-2006, 15:11

:cry:

Gente, obrigado, vocês falaram o que justamente eu desconfiava, vou proceder a reformatação e instalação do sistema.

O servidor amanheceu com o prompt de root alterado

Ferramentas de Tópicos