我在 /var/log/secure 文件中发现了一些奇怪的信息:
Feb 10 02:02:04 server2364 usermod[30750]: unlock user `username1' password
Feb 10 02:02:04 server2364 usermod[30811]: lock user `username2' password
Feb 10 02:05:16 server2364 usermod[30992]: unlock user `username2' password
Feb 10 02:05:18 server2364 usermod[31114]: unlock user `username1' password
username1 和 username2 是系统上的两个用户名,没有登录能力。
每天晚上 02:02 的结果都存储在 /var/log/secure 文件中。
还有一件事:文件 /etc/shadow 和 /etc/shadow 有时间戳 02:05h。
是什么原因造成的?
接下来,如果我删除这两个帐户(用户名 1 和用户名 2),我将无法启动 Web 服务器。
你能帮我提供一些想法吗,我被黑客入侵了吗?
更新:按照 Daniel Lawson 下面的建议,我运行 netstat -ln -pv | grep 465,结果是:
netstat: no support for `AF INET (sctp)' on this system.
tcp 0 0 0.0.0.0:465 0.0.0.0:* LISTEN 3000/master
netstat: no support for `AF IPX' on this system.
netstat: no support for `AF AX25' on this system.
netstat: no support for `AF X25' on this system.
netstat: no support for `AF NETROM' on this system.
答案1
usermod lock/unlock 命令将在运行时更新 /etc/passwd 和 /etc/shadow,因为这些工具会更新身份验证后端。因此,这是预期的行为,因为某些东西正在运行脚本来锁定/解锁这些用户帐户
鉴于这些锁定/解锁事件每天凌晨 2 点发生,您应该查找正在运行它们的 crontab 条目。尝试以下命令并使用输出更新您的帖子
sudo grep usermod /etc/cron* /var/spool/cron/ -R
关于 apache 问题,如果不知道用户名是什么,或者不知道有关 apache 配置的更多信息,就很难知道发生了什么。
这台机器是托管公司提供的虚拟机吗?