文章主題 : ssh一登入，就會自動發信 - iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

0

文章主題 : ssh一登入，就會自動發信

伺服器

towns 2013-04-25 11:04:01 ‧ 4593 瀏覽

分享至

昨天發現，有一台Linux主機，只要使用ssh登入，就會自動發信，而且信件內容為帳密，看來這台主機已經被入侵或植入木馬了，但towns找不到問題在哪裡？是否有大大有遇過相同的問題，該如何處理呢？
OS：CentOS 5
測試情形

使用SSH登入時，他會紀錄登入者的帳密，並寄送email
只有使用ssh登入時，會發生，如果由本機端登入，不會發信
每一個使用者使用ssh登入都會發生寄信情形

登入發表討論

直播研討會

{{ item.subject }}

{{ item.channelVendor }} {{ item.webinarstarted }} |

{{ formatDate(item.duration) }}

直播中

2 個回答

12

poemnite

iT邦研究生 2 級 ‧ 2013-04-25 11:36:27

最佳解答

看起來不是你的 sshd.conf 被動了手腳
就是 sshd 根本被換掉了

因為本機登入時不是用 ssh
所以 sshd.conf 的設定不會被啟動

檢查一下你的 sshd 跟 /etc/ssh/sshd.conf 吧
可以先看 22 port 是那個程式佔用了

回應 1
分享
檢舉

towns iT邦新手 4 級 ‧ 2013-04-25 11:51:24 檢舉

sshd.conf只寫了以下東西
SyslogFacility AUTHPRIV
PermitRootLogin no
PasswordAuthentication yes
ChallengeResponseAuthentication no
X11Forwarding yes
Subsystem sftp /usr/libexec/openssh/sftp-server
sshd被換掉
這個towns要怎麼確定呢？
確定 22 port是由SSH啟動的
tcp 0 0 :::22 :::* LISTEN 15184/sshd

登入發表回應

16

wiseguy

iT邦超人 1 級 ‧ 2013-04-25 11:54:30

使用 rpm -V pam openssh-server 指令 check 一下你的 pam 與 openssh-server 套件有沒有被換掉。
使用 ssh 登入，會被監聽密碼的地方，就是 pam 驗證密碼的程序或是 sshd 本身。

回應 2
分享
檢舉

towns iT邦新手 4 級 ‧ 2013-04-25 12:06:30 檢舉

這是驗證的結果
[]# rpm -V pam openssh-server
....L... c /etc/pam.d/system-auth
SM5....T c /etc/ssh/sshd_config
S.5..... /usr/sbin/sshd

towns iT邦新手 4 級 ‧ 2013-04-25 12:12:21 檢舉

看來sshd檔案，的確有改變，大小變了，MD5也變了

登入發表回應

我要發表回答

立即登入回答

參賽組數

1123 組

團體組數

52 組

累計文章數

23096 篇

完賽人數

656 人

15th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 2018鐵人賽 javascript 2017鐵人賽 python windows php c# windows server linux css 程式設計 react vue.js

IT邦幫忙