在 Ubuntu 16.04 服务器上,我收到来自 ISP 的警告,称我的 IP 已被用来攻击其他主机,并附有以下内容:
May 23 22:42:07 shared02 sshd[23972]: Invalid user ircd from <my-ip>
May 23 22:42:07 shared02 sshd[23972]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=<my-ip>
May 23 22:42:09 shared02 sshd[23972]: Failed password for invalid user ircd from <my-ip> port 54952 ssh2
May 23 22:42:09 shared02 sshd[23972]: Received disconnect from <my-ip> port 54952:11: Normal Shutdown, Thank you for playing [preauth]
May 23 22:42:09 shared02 sshd[23972]: Disconnected from <my-ip> port 54952 [preauth]
我检查了 /var/log/auth.log 上的日志,发现我的服务器上至少已经发生了 10 天的字典攻击,并且在某个时候弱用户密码被破解了。
我推测攻击机器人利用此访问权限攻击其他目标,这就是我收到先前警告的原因。但是我不知道此活动可能被记录在哪里。Ubuntu 系统中是否有任何文件本身包含此信息?
另外,作为附加问题,我注意到机器人尝试以该用户的身份以 root 身份登录,但据我所知,它没有尝试 sudo 任何命令,为什么不会呢?
答案1
一般来说,没有,没有关于传出事件的日志,因为假设有人请求了它们。
根据攻击者的登录方式和他们发动攻击的方式,可能会在各种历史文件(例如~/.bash_history
)中出现条目,但除非您专门添加规则来记录该条目,否则系统日志中不会有任何条目。如果您愿意,您可以设置传出连接日志记录,但必须注意只记录您想要执行的操作。 一个这样的例子是在 Fedora 论坛上和杠杆iptables
。
至于您的 root 登录问题。通常,攻击者并不太关心获得 root 访问权限。他们只想在另一台服务器上运行他们的攻击脚本。root
是用于用户攻击的字典的一部分,只是在极少数情况下,有人使用弱密码启用了 root 帐户。此外,无法保证用户处于 中/etc/sudoers
,并且您正在浪费宝贵的攻击时间来尝试查看用户是否具有(不必要的)sudo
访问权限。