有人试图入侵我的 VPS 吗?

有人试图入侵我的 VPS 吗?

我在 papertail 上浏览我的日志然后看到了这个。

Jun 03 03:26:01 /USR/SBIN/CRON:  (root) CMD (test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )) 
    Jun 03 03:26:04 su:  Successful su for www-data by root 
    Jun 03 03:26:04 su:  + ??? root:www-data 
    Jun 03 03:26:04 su:  pam_unix(su:session): session opened for user www-data by (uid=0) 
    Jun 03 03:26:04 su:  pam_unix(su:session): session closed for user www-data 
    Jun 03 03:26:04 su:  Successful su for www-data by root 
    Jun 03 03:26:04 su:  + ??? root:www-data 
    Jun 03 03:26:04 su:  pam_unix(su:session): session opened for user www-data by (uid=0) 
    Jun 03 03:26:04 su:  pam_unix(su:session): session closed for user www-data 
    Jun 03 03:26:04 syslog-ng:  Configuration reload request received, reloading configuration; 
    Jun 03 03:26:04 syslog-ng:  EOF on control channel, closing connection; 
    Jun 03 03:26:05 syslog-ng:  Configuration reload request received, reloading configuration; 
    Jun 03 03:26:05 syslog-ng:  EOF on control channel, closing connection; 
    Jun 03 03:26:05 CRON:  pam_unix(cron:session): session closed for user root 
    Jun 03 03:39:01 CRON:  pam_unix(cron:session): session opened for user root by (uid=0) 

难道这不是可能的入侵尝试吗?为什么 root 被记录为 www-data 并且 syslog-ng 重新加载配置?

编辑。

/etc/cron.daily 中的文件

apt aptitude bsdmainutils dpkg lighttpd logrotate man-db passwd

在 lighttpd 中

#!/bin/sh
# Cleanup lighttpd compress cache

cache=/var/cache/lighttpd
if test -d "$cache/compress"; then
    su -s /bin/sh -c "find $cache/compress -type f -atime +30 -print0  | xargs -0 -r rm" www-data
fi
if test -d "$cache/uploads"; then
    su -s /bin/sh -c "find $cache/uploads -type f -atime +1 -print0 | xargs -0 -r rm" www-data
fi

答案1

是的,您的 VPS 总是受到攻击。但不,这不是此日志条目所显示的。

这是合法活动。正如您所看到的,它是 anacron,运行每日 /etc/cron.daily/lighttpd 作业。在(已更正的)lighttpd cron 脚本中,您可以看到脚本正在运行su www-data,并且日志文件显示 root 将用户更改为 www-data。

相关内容