我的服务器出现了一些奇怪的行为。我打开了 auth.log 并发现了以下内容(这不是我的 IP):
Sep 16 16:38:23 xxxxxx sshd[750]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=194.59.249.21 user=root
Sep 16 16:38:25 xxxxxx sshd[750]: Failed password for root from 194.59.249.21 port 49252 ssh2
Sep 16 16:38:29 xxxxxx sshd[750]: Accepted password for root from 194.59.249.21 port 49252 ssh2
Sep 16 16:38:29 xxxxxx sshd[750]: pam_unix(sshd:session): session opened for user root by (uid=0)
.....
Sep 16 18:49:49 xxxxxx sshd[750]: pam_unix(sshd:session): session closed for user root
我读这个是:
- 16:38:25 有人尝试登录,但密码失败。
- 4 秒后,他们输入正确的密码并进入服务器(因此第一次尝试必定是拼写错误)。
- 2 小时 10 分钟后,他们退出。
我的解释正确吗?如果是这样,是否有另一个日志可以显示他们做了什么?
答案1
你的解释是正确的。
如果您想查看他们运行的所有命令,您需要查看用户历史文件
由于该用户是 root,因此它将位于 /root/.bash_history 中
对于其他用户,它将是 /home/username/.bash_history
如果他们运行特权命令,它可能位于 /var/log/secure 中,但是因为他们是 root 用户,所以可能不是,因为他们不需要使用 sudo。