Linux系统密码恢复实践

　　23号接到客户电话，Linux服务器无法登陆，因为服务器放在联通的托管机房，所以无法到现场处理。经过联网检测，服务器无法Ping通，服务器所在网段的网关可以Ping通。开始以为是服务器托管机房网络出现问题，导致该服务器不能访问，后来经过使用扫描工具发现该服务器IP位置端口21，389，1002和1702有回应，所以断定网络不存在问题，服务器也在运行。经过了解，安装设置的简单过于简单的数字密码客户没有进行更改（这一点真是没有想到），估计服务器已经被坏人光顾过了。通过协商，客户将服务器拿回自己的公司等待我们上门去恢复密码。

　　周六上午到达客户那里以后首先进行密码恢复工作：

　　1，在服务器开机运行到Grub画面是，按E键进入登陆选择项，其中有三项，

　　Root （hd0,0）

　　kernel /boot/vmlinuz-2.4.21-15 EL ro root=LABEL=/

　　Initrd /initrd-2.4.21-15 EL.img

　　将光标移到第二项，然后再次按E键，在出现的界面里面最下面一行是：

　　Grub edit >kernel /boot/vmlinuz-2.4.21-15.EL ro root=LABEL=/

　　在ro之前添加 single 然后按回车返回刚才的Grub登陆选择界面，在第二项上按B键。

　　即可直接进入Linux 命令行，然后键入 passwd root 即可修改root用户的密码。

　　经过检查发现服务器上的SSHD服务运行正常，同时也没有发现运行21端口有打开，扫描到的389，1002和1702都没有打开，郁闷，因为我对Linux水平较差，所以不能像Windows平台一样，检查注册表或者运行的服务一样检查Linux服务运行的状况，看来需要奋起直追了。服务器也就开着平常使用的几个端口，22、3306等服务端口。防火墙的设置也是允许通过SSH的，真是郁闷为什么当时22端口和3306端口都探测不到打开的状态？系统那只有两个帐号，一个是Test帐号，当时是不是自己安装时设置的已经忘记了，另外一个是mysql帐号，用该帐号进行登陆也不能完成，该用户密码也已经被修改。不管那么多了，先把test帐号斩首示众吧。检查日志是发现2月22号以前的日志全都不见了，也就是坏人已经将前面的日志清空，也就无法追踪做过什么动作了。（将会关注日志的转移保存的方法，将日志转移到另外的服务器上去，或者通过邮件等等。）

　　2，重新安装和IP相关的包，IPtables、IPSec、Iproute、Initscripts、iputils。经过重新安装相关的包，将Root用户设置成一个足够强大的密码，MySQL帐号也是一样。并将连接公网的Eth0网卡在防火墙设置里面配置为不信任网卡，过滤掉没有规则允许通过的包。经过测试SSH可以正常通过连接，但是MySQL找不到地方设置，允许防火墙放行3306端口的包。（太菜了）