谁动了我的sshd(消失的sshd,诡异)(+真相)

消失的sshd

  上午一直登录在一台远程Linux服务器上,想拿一份最新的数据库数据来,于是用 mysqldump 导出并打包成 tar.gz;在本地的一台Linux服务器上执行 sftp,诡异的事情发生了。

 

[root@liunx0918 shtools]# sftp xxx.xxx.xxx.xxx
Connecting to xxx.xxx.xxx.xxx...
ssh: connect to host xxx.xxx.xxx.xxx port 22: Connection refused
Couldn't read packet: Connection reset by peer
[root@liunx0918 shtools]#

 

也就是说,这台服务器并没有启动 sshd 服务,这怎么可能呢,我不是还 ssh 在上面吗?

 

赶快上去看一下(因为一直登录在上面,还是可以操作的),发现少了 /usr/sbin/sshd 进程。

[root@www mysql]$ ps -ef|grep sshd
root      1971     1  0 10:08 ?        00:00:00 sshd: root@pts/0
root      8962  1973  0 15:05 pts/0    00:00:00 grep sshd
[root@www mysql]$

 

正常的系统是这样的:

[root@www mysql]$ ps -ef|grep sshd
root      1971     1  0 10:08 ?        00:00:00 sshd: root@pts/0
root      4862     1  0 11:46 ?        00:00:00 /usr/sbin/sshd
root      7207  4862  0 11:58 ?        00:00:00 sshd: root@pts/1
root      8962  1973  0 15:05 pts/0    00:00:00 grep sshd
[root@www mysql]$

 

 

当时的第一想法是,赶快把 sshd 启动起来。紧张啊

[root@www mysql]$ service sshd start
sshd: 未被识别的服务
[root@www mysql]$

 

在 /etc/init.d/ 下没有找到 sshd 脚本

[root@www mysql]$ ls /etc/init.d/sshd
ls: /etc/init.d/sshd: 没有那个文件或目录
[root@www mysql]$

 

发现 openssh-server 包不翼而飞

[root@www mysql]$ rpm -qa | grep ssh
openssh-clients-4.3p2-82.el5
openssh-4.3p2-82.el5
[root@www mysql]$

 

正常的系统肯定有,不然怎么 ssh 登录。

[root@liunx0918 backup]# rpm -qa | grep ssh
openssh-4.3p2-36.el5
openssh-clients-4.3p2-36.el5
openssh-server-4.3p2-36.el5
[root@liunx0918 backup]#

 

幸好,还有一个终端连在上面,赶快安装一下:

[root@www mysql]$ yum install -y openssh-server

 

然后重启 sshd 服务

[root@www mysql]$ service sshd start

 

这样终于可以从远程登录和下载文件了。松了一口气


关键的问题是:这个 sshd 为什么会不见了呢???黑客?!

 

在 .bash_history 文件中找到了这样的信息

yum remove tcp_wrappers
yum remove tcp_wrappers.i386 0:7.6-40.7.el5

 

在 /var/log/yum.log 中找到了如下信息

Jun 11 10:24:43 Erased: openssh-server
Jun 11 10:24:43 Erased: tcp_wrappers

Jun 11 11:46:05 Installed: tcp_wrappers-7.6-40.7.el5.i386
Jun 11 11:46:05 Installed: openssh-server-4.3p2-82.el5.i386

后面两条是我操作的,前面两条不是我操作的,而是别人真的把openssh-server给删了

 

后面问了一下,原来是云主机提供方帮助我们解决“无法远程访问某个服务”的问题,上去做了一些操作,没想到他会干出这样的事情来


不过还好,(1)发现得及时;(2)并非黑客所为;

 

可见:服务器的登录权限管控一定要做好,不然都不知道怎么死的。

 

 

 

 

 

你可能感兴趣的:(Linux问题)