我有一台 ubuntu 服务器,我想了解是否有人(黑客)进入了它。我在 auth.log 中看到了很多这样的行:
May 30 10:36:00 xxx-System-Product_Name CRON[2758]: pam_unix(cron:session): session opened for user admin by (uid=0)
May 30 10:36:00 xxx-System-Product_Name CRON[2758]: pam_unix(cron:session): session closed for user admin
May 30 10:37:00 xxx-System-Product_Name CRON[2759]: pam_unix(cron:session): session opened for user admin by (uid=0)
May 30 10:37:00 xxx-System-Product_Name CRON[2759]: pam_unix(cron:session): session closed for user admin
我的用户是“alessandro”而不是管理员,有人以用户“admin”的身份输入了?
有人能帮我吗?
答案1
您的评论揭示了 rootkit 中常见的文件和目录结构。因此,您的服务器被入侵和接管的可能性非常高。您应该尽快开始补救。