Re: Servidor no pide la contraseña de root
El vie, 20-05-2005 a las 12:55 +0200, Fernando Poza Saura escribió:
> Saludos amigos,
>
> Tengo un servidor en el que esta alojada la página güé de una pequeña
> asociación de la universidad. Es un debian woody con apache y mysql.
>
> La gestionábamos en remoto desde nuestros curros en ratos perdidos.
>
> Todo iba bien hasta que un día empezo a rechazar las conexiones (nos
> conectábamos con ssh).
>
> Hubo que personarse en el garito donde vive el ordenata y ver qué
> pasaba. Al rearrancarlo se ve en los mensajes que los servicios de mysql
> y apache no encuentran los ficheros de log (¿?), no se porqué. Y además
> cuando ha terminado y te ofrece el prompt de login para entrar, pues uno
> mete root, presiona enter y después de un rato vuelve a mostrarte
> login:. Es decir que no te da la oportunidad de meter la contraseña en
> ningún momento.
>
> Como veis hay dos cosas, el tortazo que se dan apache y mysql y la
> imposibilidad de entrar en la máquina. Hasta donde yo sé no deberían
> estar relacionados, pero en el mundo de la informática me creo cualquier
> cosa.
>
> ¿A alguien le ha pasado esto de no poder meter la contraseña?
> ¿Puede ser que se haya corrompido el fichero /etc/passwd?
> ¿Porqué puede ser que apache y mysql no puedan escribir los logs?
>
> Por ahí teníamos metido en la cron que hiciese un volcado en el disco de
> uno de nosotros de las partes más sensibles, y tambien un rearranque
> diario para joder a los que se quisiesen meter. No os puedo decir los
> detalles porque no fui yo el que programó eso en la cron, pero ahí va
> por si puede tener algo que ver.
>
> En fin, si es lo del fichero passwd, supongo que se podrá corregir
> arrancando con knoppix e intentando recuperarlo, ¿como?, ¿hay algun
> modelo de passwd (el fichero) para ponerlo encima?. Si no es esto, no
> veo más salida que instalar el sistema base de nuevo.
>
> Bueno espero que haya quedado claro, mil gracias por adelantado.
> Fernando
>
Pueden ocurrir varias cosas:
* La partición de donde cuelga /var está llena
* "Os han entrao hasta la cocina", es decir, os han hackeado.
Arranca con un live-cd revisa el tamaño libre, y revisa los log
de /var/log, sobre todo el auth.log
Si entras y está vacio sin duda os han hackeado.
(A un amigo le ha pasado hace unos días, le borraron /boot y /var)
Suerte y que sólo sean problemas de espacio libre
PD.- Debería haber una copia del passwd en /var/backups
>
Reply to: