Взлом сервера
Здравствуйте!
Недавно обнаружил, что один из серверов был взломан. Сразу закрыл доступ к серверу из вне. Но обнаружил следующую проблему. При выполнении команды например: su -, происходит запрос пароля несколько раз:
Пароль:
Пароль:
Пароль:
При этом пароль root с первого раза введен правильно.
При этом в логе /var/log/secure вот что:
Oct 2 18:16:02 hostname su: pam_unix(su-l:auth): authentication failure; logname= uid=501 euid=0 tty=pts/5 ruser=rails rhost= user=root
Oct 2 18:16:15 hostname su: pam_succeed_if(su-l:account): unrecognized option [uid]
Oct 2 18:16:15 hostname su: pam_succeed_if(su-l:account): unrecognized option [<]
Oct 2 18:16:15 hostname su: pam_succeed_if(su-l:account): unrecognized option [500]
Oct 2 18:16:15 hostname su: pam_succeed_if(su-l:account): unrecognized option [quiet]
Oct 2 18:16:17 hostname su: pam_succeed_if(su-l:account): authentication failure; logname= uid=501 euid=0 tty=pts/5 ruser=rails rhost= user=root
Oct 2 18:16:17 hostname su: pam_succeed_if(su-l:session): unrecognized option [service]
Oct 2 18:16:17 hostname su: pam_succeed_if(su-l:session): unrecognized option [in]
Oct 2 18:16:17 hostname su: pam_succeed_if(su-l:session): unrecognized option [crond]
Oct 2 18:16:17 hostname su: pam_succeed_if(su-l:session): unrecognized option [quiet]
Oct 2 18:16:17 hostname su: pam_succeed_if(su-l:session): unrecognized option [use_uid]
Oct 2 18:16:18 hostname su: pam_unix(su-l:session): session opened for user root by (uid=501)
Oct 2 18:16:18 hostname su: PAM 1 more authentication failure; logname= uid=501 euid=0 tty=pts/5 ruser=username rhost= user=root
Посоветуйте куда смотреть, что делать. Переустановить систему, пока не представляется возможным. Так получилось, что резервных копий тоже нет.
Сразу скажу, что конфигурационные файлы /etc/pam.d/* не изменялись.