Что происходит с sshd ?

0

0

RLEL3 x86_64, с утричка на все попытки соединится по ssh сразу получал:
ssh_exchange_identification: Connection closed by remote host

со вчерашнего дня осталась висеть один терминал, через него сделал service sshd restart, после этого пару раз удалось залогинется но через какое-то время снова перестало работать все уходило в timeout. удалось застать такую картину:

root 26309 1 0 09:33 ? 00:00:00 sshd: imp [priv]
sshd 26310 26309 0 09:33 ? 00:00:00 sshd: imp [net]
root 26331 1 0 09:34 ? 00:00:00 sshd: imp [priv]
sshd 26332 26331 0 09:34 ? 00:00:00 sshd: imp [net]
root 26862 1 0 09:44 ? 00:00:00 sshd: imp [priv]
sshd 26863 26862 0 09:44 ? 00:00:00 sshd: imp [net]
root 26990 1 0 09:47 ? 00:00:00 sshd: imp [priv]
sshd 26991 26990 0 09:47 ? 00:00:00 sshd: imp [net]
root 27219 1 0 09:51 ? 00:00:00 sshd: imp [priv]
sshd 27220 27219 0 09:51 ? 00:00:00 sshd: imp [net]
root 27283 1 0 09:52 ? 00:00:00 sshd: imp [priv]
sshd 27284 27283 0 09:52 ? 00:00:00 sshd: imp [net]
root 27390 1 0 09:53 ? 00:00:00 sshd: imp [priv]
sshd 27391 27390 0 09:53 ? 00:00:00 sshd: imp [net]
root 27578 1 0 09:57 ? 00:00:00 sshd: imp [priv]
sshd 27579 27578 0 09:57 ? 00:00:00 sshd: imp [net]
root 29874 1 0 10:39 ? 00:00:00 sshd: unknown [priv]
sshd 29877 29874 0 10:39 ? 00:00:00 sshd: unknown [net]
root 29892 1 0 10:39 ? 00:00:00 sshd: root [priv]
sshd 29893 29892 0 10:39 ? 00:00:00 [sshd <defunct>]
root 30492 1 0 10:50 ? 00:00:00 sshd: imp [priv]
sshd 30493 30492 0 10:50 ? 00:00:00 sshd: imp [net]
root 31821 1 0 11:16 ? 00:00:00 sshd: root [priv]
sshd 31822 31821 0 11:16 ? 00:00:00 sshd: root [net]
root 31904 1 0 11:17 ? 00:00:00 sshd: root [priv]
sshd 31905 31904 0 11:17 ? 00:00:00 sshd: root [net]
root 32326 1 0 11:24 ? 00:00:00 sshd: root [priv]
sshd 32327 32326 0 11:24 ? 00:00:00 sshd: root [net]
root 32620 1 0 11:28 ? 00:00:00 sshd: imp [priv]
sshd 32621 32620 0 11:28 ? 00:00:00 sshd: imp [net]
root 32699 1 0 11:29 ? 00:00:00 sshd: root [priv]
sshd 32700 32699 0 11:29 ? 00:00:00 sshd: root [net]
root 32726 1 0 11:30 ? 00:00:00 sshd: root [priv]
sshd 32727 32726 0 11:30 ? 00:00:00 sshd: root [net]
root 32728 1 0 11:30 ? 00:00:00 sshd: imp [priv]
sshd 32729 32728 0 11:30 ? 00:00:00 sshd: imp [net]
root 326 1 2 11:32 ? 00:00:00 /usr/sbin/sshd

imp это юзер пытающийся через winscp соединится. обшарил весь /var/log ничего интересного не обнаружил. попрасил перегрузить всю машину, пару часов работает нормально. что бы это могло быть, не взлом ли ?

Desperado.

Ссылка

←	проверка подписи файлов перед запуском

IPTables: Куда делся --mac-destination?

→

млин сегодня та же ситуация.

anonymous
(09.08.06 12:52:47 MSD)

Ответ на: комментарий от anonymous 09.08.06 12:52:47 MSD

А все другое нормально работает ? в выводе dmesg ничего странного нет?

roy ★★★★★
(10.08.06 08:12:48 MSD)

Ответ на: комментарий от roy 10.08.06 08:12:48 MSD

в /var/log/secure есть такое

Aug 8 10:39:14 myhost sshd[1651]: Received signal 15; terminating.
Aug 8 10:39:15 myhost sshd[29863]: Server listening on 0.0.0.0 port 22.
Aug 8 11:32:00 myhost sshd[29863]: Received signal 15; terminating.
Aug 8 11:32:00 myhost sshd[326]: Server listening on 0.0.0.0 port 22.
Aug 9 10:38:24 myhost sshd[1653]: Received signal 15; terminating.
Aug 9 10:38:25 myhost sshd[573]: Server listening on 0.0.0.0 port 22.
Aug 9 10:51:44 myhost sshd[573]: Received signal 15; terminating.
Aug 9 10:51:44 myhost sshd[1541]: Server listening on 0.0.0.0 port 22.
Aug 9 11:05:12 myhost sshd[1541]: Received signal 15; terminating.
Aug 9 11:09:21 myhost sshd[1651]: Server listening on 0.0.0.0 port 22.

выглядит это так:
[root@workstation root]# ssh -vvv root@myhost
OpenSSH_3.6.1p2, SSH protocols 1.5/2.0, OpenSSL 0x0090701f
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug1: Rhosts Authentication disabled, originating port will not be trusted.
debug2: ssh_connect: needpriv 0
debug1: Connecting to myhost [xxx.xxx.xxx.xxx] port 22.
debug1: Connection established.
debug1: identity file /root/.ssh/identity type -1
debug1: identity file /root/.ssh/id_rsa type -1
debug1: identity file /root/.ssh/id_dsa type -1
debug1: Remote protocol version 1.99, remote software version OpenSSH_3.6.1p2
debug1: match: OpenSSH_3.6.1p2 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_3.6.1p2
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug2: kex_parse_kexinit: diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1
debug2: kex_parse_kexinit: ssh-rsa,ssh-dss
debug2: kex_parse_kexinit: aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc,rijnd ael-cbc@lysator.liu.se
debug2: kex_parse_kexinit: aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc,rijnd ael-cbc@lysator.liu.se
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-m d5-96
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-m d5-96
debug2: kex_parse_kexinit: none,zlib
debug2: kex_parse_kexinit: none,zlib
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit: first_kex_follows 0
debug2: kex_parse_kexinit: reserved 0
debug2: kex_parse_kexinit: diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1
debug2: kex_parse_kexinit: ssh-rsa,ssh-dss
debug2: kex_parse_kexinit: aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc,rijnd ael-cbc@lysator.liu.se
debug2: kex_parse_kexinit: aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc,rijnd ael-cbc@lysator.liu.se
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-m d5-96
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-m d5-96
[scip]
debug3: userauth_kbdint: disable: no info_req_seen
debug2: we did not send a packet, disable method
debug3: authmethod_lookup password
debug3: remaining preferred:
debug3: authmethod_is_enabled password
debug1: Next authentication method: password
root@myhost's password:
debug3: packet_send2: adding 64 (len 59 padlen 5 extra_pad 64)
debug2: we sent a password packet, wait for reply

anonymous
(10.08.06 10:05:51 MSD)

Ответ на: комментарий от anonymous 10.08.06 10:05:51 MSD

15 - SIGTERM. не знаю кто его может посылать sshd

а кто перезапускает sshd ? как он вообще запускается ? странное дело, все остальное нормально работает ?

roy ★★★★★
(11.08.06 06:57:22 MSD)

Ответ на: комментарий от roy 11.08.06 06:57:22 MSD

как говорится оказалось, не казалось.
да по началу все остальное работало, потом выснил что крон у одного из юзеров не запускается, а через пару дней reboot уже не помогал, вот поехал к провайдеру, а там та же фигня - не мог залогинется даже с клавы. проагрейдил до RHEL4 хоть оракл запустился, теперь вот думаю это линукс глюкавый или меня поимели со всеми вытекающими.

anonymous
(11.08.06 12:00:28 MSD)

Ответ на: комментарий от anonymous 11.08.06 12:00:28 MSD

Мож аппаратный сбой, например хард посыпался, или фс

roy ★★★★★
(14.08.06 11:30:37 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	проверка подписи файлов перед запуском

Security

IPTables: Куда делся --mac-destination?

→

Похожие темы