Press "Enter" to skip to content

解决登录SSH提示Too many authentication failures for root

3

一台客户英国服务器的WDCP面板密码遭到了篡改,打算远程上去看下,登录后发现提示“Too many authentication failures for root”,应该是被黑客的脚本设置开机后自动登录,来让人无法进去处理。于是先重置了root的密码,然后重启,重启后可以登录了,接下来处理被植入的恶意文件。

1、ls -lh /bin/ps 查看文件大小,超过1.2M就是被替换了。

2、停止外发邮件

chmod 000 /tmp/gates.lod   /tmp/moni.lod
service sendmail stop
chkconfig –level 345 sendmail off
chmod -x  /usr/sbin/sendmail

3、把恶意文件限制住权限

chmod -R 000 /root/*rar*
chattr -i /root/conf.n
chmod -R 000 /root/conf.n*

4、关闭进程

ps auxww查看当前进程,以rar结尾的一般就是了。
kill -9 进程ID
killall 进程名  比如abc.rar

5、查看任务计划,干掉开机启动的东西

crontab -e  看看是否有可疑任务,如果有多个/tmp下的随机名称的文件,那就是恶意程序,删除该任务

6、禁用密钥登录

echo 0 > /root/.ssh/authorized_keys && chattr +i  /root/.ssh/authorized_keys

7、升级WDCP面板,可以在面板里升级,也可以

wget http://down.wdlinux.cn/down/wdcp_v2.5.tar.gz
tar zxvf wdcp_v2.5.tar.gz -C /

 

 

 

发表评论