/root 权限莫名奇妙的被改了

有一个 linux sever
ssh-copy-id 之后也成功了
但是用 key 一直登录不上去
用密码登上去之后发现一条 /var/log/secure 的记录

Dec 22 11:21:09 10-19-25-123 sshd[12475]: Authentication refused: bad ownership or modes for directory /root

然后看了一下 /root 的权限
drwxr-xr-x. 10 501 games 4096 Dec 21 05:40 root

又看了一下 /root 下的几个文件夹也都被改了权限

drwxr-xr-x 7 501 games 4096 Dec 21 02:17 .git
drwxr-xr-x 5 501 games 4096 Dec 21 10:52 cxxxxp （一个 scapy 爬虫）

这尼玛是啥玩意？难道被入侵了吗？我之前的密码是很复杂的啊。。。麻痹的。。。到底怎么回事。。。
爬虫里面还有一个很重要的网站的用户名和密码

wlsnx

2017-12-22 12:03:55 +08:00

/root/.git ？
你不是 rsync -a 指定错目录了吧？

defunct9

2017-12-22 12:05:50 +08:00

开 ssh 我上去看看

mizufik

2017-12-22 12:12:14 +08:00

@wlsnx
我看了一下 cat /root/.git/logs/HEAD 是我自己的记录
但是这个 games 用户很奇怪不知道哪里来的。。。。

mizufik

2017-12-22 12:12:48 +08:00

@defunct9 这不可能。。。生产服务器啊

mizufik

2017-12-22 12:26:20 +08:00

/var/log/secure 里找到几个 gamse 的这些信息。。。

但貌似也没登录成功吧

Dec 21 01:07:08 10-19-46-62 sshd[26743]: Invalid user syncro from 36.97.143.13
Dec 21 01:07:08 10-19-46-62 sshd[26744]: input_userauth_request: invalid user syncro
Dec 21 01:07:08 10-19-46-62 sshd[26743]: pam_unix(sshd:auth): check pass; user unknown
Dec 21 01:07:08 10-19-46-62 sshd[26743]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=36.97.143.13
Dec 21 01:07:08 10-19-46-62 sshd[26743]: pam_succeed_if(sshd:auth): error retrieving information about user syncro
Dec 21 01:07:10 10-19-46-62 sshd[26743]: Failed password for invalid user syncro from 36.97.143.13 port 39767 ssh2
Dec 21 01:07:10 10-19-46-62 sshd[26744]: Received disconnect from 36.97.143.13: 11: Bye Bye
Dec 21 01:07:10 10-19-46-62 sshd[26745]: Invalid user sysgames from 36.97.143.13
Dec 21 01:07:10 10-19-46-62 sshd[26746]: input_userauth_request: invalid user sysgames
Dec 21 01:07:10 10-19-46-62 sshd[26745]: pam_unix(sshd:auth): check pass; user unknown
Dec 21 01:07:10 10-19-46-62 sshd[26745]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=36.97.143.13
Dec 21 01:07:10 10-19-46-62 sshd[26745]: pam_succeed_if(sshd:auth): error retrieving information about user sysgames
Dec 21 01:07:12 10-19-46-62 sshd[26745]: Failed password for invalid user sysgames from 36.97.143.13 port 39997 ssh2
Dec 21 01:07:12 10-19-46-62 sshd[26746]: Received disconnect from 36.97.143.13: 11: Bye Bye
Dec 21 01:07:13 10-19-46-62 sshd[26747]: Invalid user sysgames from 36.97.143.13
Dec 21 01:07:13 10-19-46-62 sshd[26748]: input_userauth_request: invalid user sysgames
Dec 21 01:07:13 10-19-46-62 sshd[26747]: pam_unix(sshd:auth): check pass; user unknown
Dec 21 01:07:13 10-19-46-62 sshd[26747]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=36.97.143.13
Dec 21 01:07:13 10-19-46-62 sshd[26747]: pam_succeed_if(sshd:auth): error retrieving information about user sysgames
Dec 21 01:07:14 10-19-46-62 sshd[26747]: Failed password for invalid user sysgames from 36.97.143.13 port 40246 ssh2
Dec 21 01:07:14 10-19-46-62 sshd[26748]: Received disconnect from 36.97.143.13: 11: Bye Bye

julyclyde

2017-12-22 13:49:43 +08:00

501 一般是系统里第一个普通用户； games 在这里是 owner group
这么看来，首先你的 /root 目录的 owner 被改了，其次 501 号用户被显示为 501，是因为无法找到 501 对应的用户名，也就是 passwd 文件，或者 nsswitch.conf 已经被破坏了

/root/.git 存在，说明 /root 是一个 git repo。建议进去执行 git remote -v 看一下是从哪儿 clone 回来的
怀疑有人在 /目录执行
sudo git clone XXXrepo root
命令，把你的 root 目录覆盖掉了