El vie, 20-05-2005 a las 12:55 +0200, Fernando Poza Saura escribi�: > Saludos amigos, > > Tengo un servidor en el que esta alojada la p�gina g�� de una peque�a > asociaci�n de la universidad. Es un debian woody con apache y mysql. > > La gestion�bamos en remoto desde nuestros curros en ratos perdidos. > > Todo iba bien hasta que un d�a empezo a rechazar las conexiones (nos > conect�bamos con ssh). > > Hubo que personarse en el garito donde vive el ordenata y ver qu� > pasaba. Al rearrancarlo se ve en los mensajes que los servicios de mysql > y apache no encuentran los ficheros de log (�?), no se porqu�. Y adem�s > cuando ha terminado y te ofrece el prompt de login para entrar, pues uno > mete root, presiona enter y despu�s de un rato vuelve a mostrarte > login:. Es decir que no te da la oportunidad de meter la contrase�a en > ning�n momento. > > Como veis hay dos cosas, el tortazo que se dan apache y mysql y la > imposibilidad de entrar en la m�quina. Hasta donde yo s� no deber�an > estar relacionados, pero en el mundo de la inform�tica me creo cualquier > cosa. > > �A alguien le ha pasado esto de no poder meter la contrase�a? > �Puede ser que se haya corrompido el fichero /etc/passwd? > �Porqu� puede ser que apache y mysql no puedan escribir los logs? > > Por ah� ten�amos metido en la cron que hiciese un volcado en el disco de > uno de nosotros de las partes m�s sensibles, y tambien un rearranque > diario para joder a los que se quisiesen meter. No os puedo decir los > detalles porque no fui yo el que program� eso en la cron, pero ah� va > por si puede tener algo que ver. > > En fin, si es lo del fichero passwd, supongo que se podr� corregir > arrancando con knoppix e intentando recuperarlo, �como?, �hay algun > modelo de passwd (el fichero) para ponerlo encima?. Si no es esto, no > veo m�s salida que instalar el sistema base de nuevo. > > Bueno espero que haya quedado claro, mil gracias por adelantado. > Fernando >
Pueden ocurrir varias cosas: * La partici�n de donde cuelga /var est� llena * "Os han entrao hasta la cocina", es decir, os han hackeado. Arranca con un live-cd revisa el tama�o libre, y revisa los log de /var/log, sobre todo el auth.log Si entras y est� vacio sin duda os han hackeado. (A un amigo le ha pasado hace unos d�as, le borraron /boot y /var) Suerte y que s�lo sean problemas de espacio libre PD.- Deber�a haber una copia del passwd en /var/backups > -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
