Assumindo que alguém está brincando com sua caixa ou algum tipo de brincadeira, e eles não cobriram a faixa deles.

Verifique o histórico de login

Via linha de comando

w
last

Via arquivos de log

/var/log/auth.log (debian/ubuntu)
/var/log/secure (RedHat/CentOS/Fedora?)

Outras possibilidades

1. Sua caixa é uma máquina virtual e, como, é possível recuperar o estado anterior (instantâneo).
2. Muitos VPS realmente redefinem sua senha de root. Você precisa usar a interface da Web do fornecedor / host para alterar a senha do root. Caso contrário, ele continuará mudando de volta para o anterior.

Eu só quero compartilhar o que está acontecendo.

Eu sou o único que faz a pergunta e isso é um problema recorrente muito antigo.

A questão pode ser vista aqui:

link

Estou usando o cpanel.

O Cpanel possui o cphulk que protege as máquinas do registro de força bruta.

O problema é que

Muitas pessoas tiveram o mesmo problema. A solução é garantir que o seu IP esteja listado em branco pela cphulk. Também reinicializar a máquina pode às vezes funcionar por um tempo. Não há solução fácil.

Meu palpite é que há outra máquina na rede com o mesmo endereço IP e eles estão lutando. Às vezes, você faz login no seu servidor, às vezes no invasor.

Durante a revisão de outras publicações relacionadas a esse problema, eu encontrei informações sobre como verificar se há uma infecção no sistema.

Execute um dos programas:

rkhunter  
chkrootkit 

verificar a integridade dos binários

rpm -Va .

Confirme todos os arquivos de propriedade da raiz que possuem o bit suid ativado. Qualquer arquivo desse tipo é executado como root, não importa quem seja o usuário. Use:

find / -perm 4755 

Um arquivo resultante terá permissões rwsr-x-r-x. O "s" informa que o bit suid está ativado. Porque ele foi executado por qualquer usuário (o r-x final), significa que qualquer usuário pode executá-lo como root. Eu corro o achado para cada um dos 4777, 4775, 4755 etc ... - basicamente para qualquer modo em que qualquer um que não seja o usuário (root) seria capaz de escrever o arquivo (então não há razão para procurar por 4744 porque embora seja legível por todos os outros apenas root poderia escrever para ele.)

link

Também para redefinir suas senhas: A partir do menu de inicialização do GRUB, adicione à linha linux16 ...

rw init=/bin/bash 

pressione ctrl - x

redefinir senha de root

passwd

redefinir a senha do usuário

passwd [user]
touch / .autorelabel
/sbin/reboot -f

link

Além disso, encontrei o trogan Linux.Xor.DDoS nos sistemas afetados. Ainda pesquisando como removê-lo. Mas, uma maneira eficaz de evitar que ele entre usando chaves privadas.

Se você também tiver um servidor SSH em execução, certifique-se de configurar a autenticação de chave com uma senha strong e, em seguida, desative apenas a autenticação por senha. Isso força o SSH a ser autenticado com as chaves pública / privada configuradas. Torna quase impossível a força bruta, já que o atacante não terá a chave apropriada e o sistema apenas desligará a conexão.

ssh-keygen -t rsa

Siga as instruções para inserir uma frase secreta e armazenar a chave em um arquivo. Agora copie a chave para o computador que você deseja ssh para:

ssh-copy-id username@remote_host

Por fim, com a chave transferida, você poderá fazer login com:

ssh username@remote_host

link

link

link

Para desativar a autenticação de senha SSH:

cd /etc/ssh
cp sshd_config sshd_config.orig
vi sshd_config

Altere as seguintes configurações

PermitRootLogin     no
PasswordAuthentication  no
UsePAM          no

Reinicie o SSH

/etc/init.d/ssh restart

link