Auth.log 条目:您如何解释此日志?

Auth.log 条目:您如何解释此日志?

我的服务器出现了一些奇怪的行为。我打开了 auth.log 并发现了以下内容(这不是我的 IP):

Sep 16 16:38:23 xxxxxx sshd[750]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=194.59.249.21  user=root
Sep 16 16:38:25 xxxxxx sshd[750]: Failed password for root from 194.59.249.21 port 49252 ssh2
Sep 16 16:38:29 xxxxxx sshd[750]: Accepted password for root from 194.59.249.21 port 49252 ssh2
Sep 16 16:38:29 xxxxxx sshd[750]: pam_unix(sshd:session): session opened for user root by (uid=0)
.....
Sep 16 18:49:49 xxxxxx sshd[750]: pam_unix(sshd:session): session closed for user root

我读这个是:

  1. 16:38:25 有人尝试登录,但密码失败。
  2. 4 秒后,他们输入正确的密码并进入服务器(因此第一次尝试必定是拼写错误)。
  3. 2 小时 10 分钟后,他们退出。

我的解释正确吗?如果是这样,是否有另一个日志可以显示他们做了什么?

答案1

你的解释是正确的。

如果您想查看他们运行的所有命令,您需要查看用户历史文件

由于该用户是 root,因此它将位于 /root/.bash_history 中

对于其他用户,它将是 /home/username/.bash_history

如果他们运行特权命令,它可能位于 /var/log/secure 中,但是因为他们是 root 用户,所以可能不是,因为他们不需要使用 sudo。

相关内容