我在 papertail 上浏览我的日志然后看到了这个。
Jun 03 03:26:01 /USR/SBIN/CRON: (root) CMD (test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily ))
Jun 03 03:26:04 su: Successful su for www-data by root
Jun 03 03:26:04 su: + ??? root:www-data
Jun 03 03:26:04 su: pam_unix(su:session): session opened for user www-data by (uid=0)
Jun 03 03:26:04 su: pam_unix(su:session): session closed for user www-data
Jun 03 03:26:04 su: Successful su for www-data by root
Jun 03 03:26:04 su: + ??? root:www-data
Jun 03 03:26:04 su: pam_unix(su:session): session opened for user www-data by (uid=0)
Jun 03 03:26:04 su: pam_unix(su:session): session closed for user www-data
Jun 03 03:26:04 syslog-ng: Configuration reload request received, reloading configuration;
Jun 03 03:26:04 syslog-ng: EOF on control channel, closing connection;
Jun 03 03:26:05 syslog-ng: Configuration reload request received, reloading configuration;
Jun 03 03:26:05 syslog-ng: EOF on control channel, closing connection;
Jun 03 03:26:05 CRON: pam_unix(cron:session): session closed for user root
Jun 03 03:39:01 CRON: pam_unix(cron:session): session opened for user root by (uid=0)
难道这不是可能的入侵尝试吗?为什么 root 被记录为 www-data 并且 syslog-ng 重新加载配置?
编辑。
/etc/cron.daily 中的文件
apt aptitude bsdmainutils dpkg lighttpd logrotate man-db passwd
在 lighttpd 中
#!/bin/sh
# Cleanup lighttpd compress cache
cache=/var/cache/lighttpd
if test -d "$cache/compress"; then
su -s /bin/sh -c "find $cache/compress -type f -atime +30 -print0 | xargs -0 -r rm" www-data
fi
if test -d "$cache/uploads"; then
su -s /bin/sh -c "find $cache/uploads -type f -atime +1 -print0 | xargs -0 -r rm" www-data
fi
答案1
是的,您的 VPS 总是受到攻击。但不,这不是此日志条目所显示的。
这是合法活动。正如您所看到的,它是 anacron,运行每日 /etc/cron.daily/lighttpd 作业。在(已更正的)lighttpd cron 脚本中,您可以看到脚本正在运行su www-data,并且日志文件显示 root 将用户更改为 www-data。