-PR-
解決
済み

Login Incorrect(RH6.2J)

  • 困ってます
  • 質問No.15389
  • 閲覧数552
  • ありがとう数3
  • 気になる数0
  • 回答数4
  • コメント数0

お礼率 25% (1/4)

先輩諸兄
RedHat6.2Jでいきなりログインできなくなってしまいました。rootは勿論、他のアカウント(とは言っても2つしかないのですが)も同様です。single userで入り、passwdで再設定してもダメでした。pwck,grpckでも特にエラーはなく、パスワードの有効期限を疑いshadowを他のマシンを参考に書き換えてみてもだめ。
関係ないかもしれませんがhost.deny,allowも見てみました。 何か他にチェックすべき点、ありますでしょうか。 よろしくお願いします。
通報する
  • 回答数4
  • 気になる
    質問をブックマークします。
    マイページでまとめて確認できます。

質問者が選んだベストアンサー

  • 回答No.4
レベル11

ベストアンサー率 55% (155/280)

1003というユーザは作っていないわけですね?もとのファイルは消
されてしまったでしょうか?もしまだ残っていたり、1003のファイ
ルが他にあれば、fileコマンドでlinuxのバイナリかどうかチェッ
クできるでしょうか? find / -user 1003 -print とかもされたで
しょうか?

それにしても、login, ls, netstat, ps というと侵入の定番です
から、疑っておく方がいいと思います。単に一回侵入してみるだけ
では、痕跡を消すまでもないのでほっておいたという可能性もあり
ます。または、それらのファイルを囮にしておいて、それを戻した
から安心と思っていたら、別の穴を開けられていたということもあ
るかもしれません。

もし可能なら、再インストールした方がいいような気がします。
補足コメント
ozkz

お礼率 25% (1/4)

>それにしても、login, ls, netstat, ps というと侵入の定番です

おっしゃる通り、まんまとやられてました。
/usr/local/srcに.puta(仕込まれたlsでは-laで見えないらしい)ディレクトリが作られ、トロイの木馬ツール一式がセットされていました。 サイテー。。。
投稿日時 - 2000-12-07 22:48:40
お礼コメント
ozkz

お礼率 25% (1/4)

punchan_jpさんへのお礼の所へ書いてすみませんが、という訳でログインできなかったのは外部からの侵入者による仕業と判明しました。 どうもお騒がせしました。 尚、ご興味のある方はGoogleなどで"t0rnsniff"をキーに検索されると私と同じものがヒットします。 侵入方法についてはよくわかりませんが、RedHat6.2Jをインストールしたままの状態にしておいたため、BINDあるいはwu-ftpdのroot権限を横取りするセキュリティホールを突かれたかと思います。セキュリティの情報はしっかり読んで対処した方がいいですね。 ではどうもありがとうございました。
投稿日時 - 0000-00-00 00:00:00
-PR-
-PR-

その他の回答 (全3件)

  • 回答No.1
レベル11

ベストアンサー率 55% (155/280)

ログインに失敗したときに何かメッセージは表示されませんか? RedHatのデフォルトを知りませんが、Xを動かしてそこからログイ ンしようとしている場合は、Xを止めてコンソールから入ってみる ことはできるでしょうか? すべてのアカウントが同時にだめになったとすると、共通のシェル があるならそれも疑うといいでしょう。single なら /bin/sh が動 くでしょうが、root や他のアカウ ...続きを読む
ログインに失敗したときに何かメッセージは表示されませんか?
RedHatのデフォルトを知りませんが、Xを動かしてそこからログイ
ンしようとしている場合は、Xを止めてコンソールから入ってみる
ことはできるでしょうか?

すべてのアカウントが同時にだめになったとすると、共通のシェル
があるならそれも疑うといいでしょう。single なら /bin/sh が動
くでしょうが、root や他のアカウントは何を使っていますか?
補足コメント
ozkz

お礼率 25% (1/4)

早速ありがとうございます。 メッセージは"Login Incorrect"以外何も表示されません。 ログインはマシンブート後の通常のTEXTモード(コンソール)です。(XのGUIログインではなく)
シェルはbashですが試しにzsh(shはbashにリンクされているので)にしてもダメでした。
うーん、困った...
投稿日時 - 2000-12-01 10:29:30


  • 回答No.2

/etc/pam.d というディレクトリはありますか? その中に login というファイルはありますか? その中の記述は #%PAM-1.0 #auth required /lib/security/pam_securetty.so auth required /lib/security/pam_pwdb.so shadow nullok auth ...続きを読む
/etc/pam.d というディレクトリはありますか?
その中に login というファイルはありますか?
その中の記述は
#%PAM-1.0
#auth required /lib/security/pam_securetty.so
auth required /lib/security/pam_pwdb.so shadow nullok
auth required /lib/security/pam_nologin.so
account required /lib/security/pam_pwdb.so
password required /lib/security/pam_cracklib.so
password required /lib/security/pam_pwdb.so nullok use_authtok md5 shadow
session required /lib/security/pam_pwdb.so
session optional /lib/security/pam_console.so
↑このようになっていますか
(上の内容はインストールしたそのままの状態です)

以前Turboでpam.dのディレクトリごと
別の場所に移っていたことがありましたので参考まで・・・
補足コメント
ozkz

お礼率 25% (1/4)

どうもありがとうございます。 1行目のコメントアウト以外、違いはありませんでした。 1行目は他のマシンでも#が付いていたので、私の方のディストリビューションのデフォルトかと思います。
投稿日時 - 2000-12-04 13:04:32
  • 回答No.3
レベル4

ベストアンサー率 33% (1/3)

アホみたいな確認ですが、各ユーザのホームディレクトリ はありますよね? 以前は、ログインできていたのにということならば ホームディレクトリが無いということはないと思い ますが、、、。 別の可能性としては、/etc/shellsに、ログイン時 に使用するシェルが書いてありますか? 昔、SlackWareではまったことがあります。 各ユーザがログイン時に使用するシェルは/etc/ ...続きを読む
アホみたいな確認ですが、各ユーザのホームディレクトリ
はありますよね?

以前は、ログインできていたのにということならば
ホームディレクトリが無いということはないと思い
ますが、、、。

別の可能性としては、/etc/shellsに、ログイン時
に使用するシェルが書いてありますか?
昔、SlackWareではまったことがあります。

各ユーザがログイン時に使用するシェルは/etc/passwd
の一番最後のフィールドに書いてあります。

あと、~/.xsessionの設定ミスがあるとログインできな
くなります。

/etc/hosts.allow, /etc/hosts.denyは、ネット
ワーク越しのログインでしか使わないので、無関係です。

余計ですが、shadowは直接編集しない方がいいですよ。
RedHat系ならば基本的には、chsh,passwdや
linuxconfで設定すれば、/etc/passwdとともに
/etc/shadowも更新されるはずです。

# 手で/etc/passwdを編集した場合は、pwconvで
# shadowを更新してやる形になります。
補足コメント
ozkz

お礼率 25% (1/4)

どうもありがとうございます。 アドバイス頂いた所確認してみましたが、特に問題ありませんでした。
うーむ、、、。

------------
その後PAMの資料(PAM System Admin Guide)に"If something goes wrong"という項を見つけ、書いてあった方法でotherというconfファイルを作ってやってみました。これによると、
Now you have the simplest possible PAM configuration that will work the way you're used to. Everything should
magically start to work again. Try it out by hitting ALT-F2 and logging in on another virtual console.
という風には全然ならなくて、^^;
If it doesn't work, you have bigger problems, or you've mistyped something.
何度見てもmistypeはないので"bigger problems"が起きてしまったという事なんでしょうか...(bigger problemsの可能性もかいといて欲しい...^^)
本当に普通に使っていただけ、というよりはほとんど何もしていなかったはずなので、なるべく原因究明したいと思っています。 実はこのマシン、Internetへ直結しているのですが、入られた可能性もあるかな、と思っています。 引き続きアドバイスよろしくお願いします。

------------
その後について、、、

念のため/bin/loginを調べたらなんと書き変わっていました。/binを調べただけですが

login -> sizeが5696に、ownerが1003になっていた
ls -> sizeが139979に、ownerが1003になっていた
netstat、psはサイズは変わらずownerはやはり1003に
ちなみにgroupは全てrootのままです。
という訳で、loginを他のマシンからコピーしてやったログインできる様になりました。

rpmはもちろん、インストールなどもやっていないにも関わらず、この様にlogin等が書き変わってしまう可能性ってあるのでしょうか。 それとも外から入られたと考えるべきか。。。 ちなみにlog関係を調べてみましたが怪しい記録はなく、またたとえ痕跡を消したにしても肝心のloginのownerやsizeをほったらかし、というのも考えにくく、外から入られたとはあまり思えません。 何か同じような経験をされた方、心当たりのある方いらっしゃいませんか?
投稿日時 - 2000-12-04 13:06:03
このQ&Aで解決しましたか?
関連するQ&A
-PR-
-PR-
このQ&Aにこう思った!同じようなことあった!感想や体験を書こう
このQ&Aにはまだコメントがありません。
あなたの思ったこと、知っていることをここにコメントしてみましょう。

その他の関連するQ&A、テーマをキーワードで探す

キーワードでQ&A、テーマを検索する
-PR-
-PR-
-PR-

特集


関連するQ&A

-PR-

ピックアップ

-PR-
ページ先頭へ