/var/log/secure 用户活动。此外,如果没有两个用户,httpd 就无法启动。

/var/log/secure 用户活动。此外,如果没有两个用户,httpd 就无法启动。

我在 /var/log/secure 文件中发现了一些奇怪的信息:

Feb 10 02:02:04 server2364 usermod[30750]: unlock user `username1' password
Feb 10 02:02:04 server2364 usermod[30811]: lock user `username2' password
Feb 10 02:05:16 server2364 usermod[30992]: unlock user `username2' password
Feb 10 02:05:18 server2364 usermod[31114]: unlock user `username1' password

username1 和 username2 是系统上的两个用户名,没有登录能力。

每天晚上 02:02 的结果都存储在 /var/log/secure 文件中。

还有一件事:文件 /etc/shadow 和 /etc/shadow 有时间戳 02:05h。

是什么原因造成的?

接下来,如果我删除这两个帐户(用户名 1 和用户名 2),我将无法启动 Web 服务器。

你能帮我提供一些想法吗,我被黑客入侵了吗?

更新:按照 Daniel Lawson 下面的建议,我运行 netstat -ln -pv | grep 465,结果是:

netstat: no support for `AF INET (sctp)' on this system.
tcp        0      0 0.0.0.0:465                 0.0.0.0:*                   LISTEN      3000/master         
netstat: no support for `AF IPX' on this system.
netstat: no support for `AF AX25' on this system.
netstat: no support for `AF X25' on this system.
netstat: no support for `AF NETROM' on this system.

答案1

usermod lock/unlock 命令将在运行时更新 /etc/passwd 和 /etc/shadow,因为这些工具会更新身份验证后端。因此,这是预期的行为,因为某些东西正在运行脚本来锁定/解锁这些用户帐户

鉴于这些锁定/解锁事件每天凌晨 2 点发生,您应该查找正在运行它们的 crontab 条目。尝试以下命令并使用输出更新您的帖子

sudo grep usermod /etc/cron* /var/spool/cron/ -R

关于 apache 问题,如果不知道用户名是什么,或者不知道有关 apache 配置的更多信息,就很难知道发生了什么。

这台机器是托管公司提供的虚拟机吗?

相关内容