Hi Leute,

wollte mir grad per SSH sowie FTP auf dem Server anmelden. Ging auch bis gestern Abend noch. Heute bekomme ich dauernd ACCESS DENIED.

Hab mich also als Root eingeloggt und wollte natürlich dann das passwort direkt ändern. Funzt aber leider auch nicht :


xxxxx:~# passwd: Authentication service cannot retrieve authentication info.

Woran könnte das liegen bzw was kann ich machen?


Gruß

Ein paar mehr Infos wäre nicht schlecht...

Ansonsten: hier (http://de.wikipedia.org/wiki/Glaskugel) mal nachschauen...

Was für informationen werden noch gebraucht? Das Betriebssystem ist Debian 3.1!

Ansonsten ist es dieses system:

https://www.server4you.de/de/d/showplan.php?products=1


Also nochmal genauer:

Ich habe einen user angelegt der z.B. unseren Teamspeak Server startet. Dieser sollte ja nun auch nicht unbedingt als root gestartet werden :)

so mit diesem user mache ich eigentlich alle arbeiten am server. Sprich, ich logge mich per FTP sowie SSH ein. Dies funzt leider nicht mehr da mein pw nicht mehr angenommen wird. Access Denied.

Und pw ändern kann ich leider auch nicht, wie oben beschrieben.

steht was interessantes in de Logfiles?
was sagt die passwd und die shaddow?
Evtl. chkrootkit?
Datei-Rechte von pam und ähnlichem?

funktioniert wieder ..

passwd sowie shadow haben mir den user nicht mehr angezeigt. Habe also die gruppe gelöscht und den user neu angelegt, jetzt funktioniert es wieder!

Gruß

Stefan

... Ursache?

(provokant gefragt...)

das kann ich leider aktuell nicht nachvollziehen. Die logdateien sagen mir jedenfalls nicht sehr viel..

gruß

confixx drauf?

Auch wenn es nach Paranoia klingt: versicher Dich bitte, dass das kein externer, evtl. geglückter Angriff auf Dein System war...

So Leute, da jetzt dieses problem nochmals auftaucht, postet ich hier noch mal ausführlicher.

Alle 10 Minuten wird von diesem user ein Cronjob ausgeführt Dieser wurde zum letzten mal um 19:45 ausgeführt um 19:55 ist der user anscheinen kaputt, jedenfalls kann das system damit nix mehr anfangen:


Mar 20 19:55:01 xxxxxx CRON[29409]: User not known to the underlying authentication module.

Da in der authlog meine zugriffe protokolliert werden konnte ich heute beim einloggen mit meinem private key konnte ich dort nur folgendes feststellen:


Mar 21 00:06:23 xxxxxx sshd[20687]: Illegal user godzserver from ::ffff:xxxxx

Innerhalb dieser 10 Minuten wo der user definitiv unbrauchbar geworden ist, ist laut syslos gar nix passiert. Dies ist ebefalls noch aus den logs rauszulesen:


Mar 20 19:55:01 xxx CRON[29409]: (pam_unix) could not identify user (from getpwnam(xxxxxx))


Ich habe ansonsten keinerlei Anhaltspunkte irgendwo finden können. Die Gruppe existiert noch aber der user ist aus der passwd sowie shadow komplett verschwunden.

Der SSH-Port wurde ebenfalls schon geändert, ohne erfolg. Passwoerter habe ich natuerlich auch schon geaendert.

Hat noch jemand von euch eine Idee?

Du solltest dringend sicherstellen daß niemand Deine Maschine geentert hat. chkrootkit wurde schon genannt...


Kreol

confixx drauf?

..........

hatte die letzten Tage viel zu tun und gar nicht so die Zeit zu Antwortet. chkrootkit ist natürlich schon installiert und meldet nichts..

confixx professional ist auf der Maschine schon drauf. Bisher ist das Problem nicht wieder aufgetreten.

sind die verschwundenen User zufällig _nicht_ mit Conifxx angelegt worden?

confixx löscht ohne nachfrage alle user die per hand angelegt worden sind und unter einer bestimmten UID sind..

den "fehler" hatte ich auch schon und ich hab ganze 3 tage lang den "fehler" gesucht und den fehler auch gefunden.. confixx..

Aha! Konntest du den Fehler denn beseitigen? Wenn ja wie?

jo.. neu installiert ohne confixx

'ne Alternative ist wohl, dass man im Confixx angeben kann, welche UIDs vom C. verwaltet werden und welche nicht...