上个月我像往常一样登录我的服务器,但一片混乱:程序不工作,/home 不再挂载等等等等
现在我已经下载了所有 Ubuntu 服务器日志,并且我注意到 auth 中充满了如下行:
Jun 7 06:57:01 ns375259 CRON[5663]: pam_unix(cron:session): session opened for user root by (uid=0)
Jun 7 06:57:01 ns375259 CRON[5663]: pam_unix(cron:session): session closed for user root
我的意思是,真的很充实,排了两个多月的队
我的 ssh 拒绝了 root 访问权限。我真的不知道那是什么。我应该在日志中查找哪些安全漏洞?
编辑:在另一个 Web 前端日志上:
localhost:80 54.146.18.189 - - [02/Jul/2015:06:17:42 +0200] "HEAD / HTTP/1.1" 200 254 "-" "Cloud mapping experiment. Contact [email protected]"
localhost:80 54.159.92.113 - - [02/Jul/2015:18:16:54 +0200] "HEAD / HTTP/1.1" 200 254 "-" "Cloud mapping experiment. Contact [email protected]"
localhost:80 94.102.49.169 - - [02/Jul/2015:23:40:36 +0200] "GET / HTTP/1.1" 200 3594 "-" "python-requests/2.7.0 CPython/2.7.6 Linux/3.13.0-24-generic"
localhost:80 182.118.45.248 - - [03/Jul/2015:02:41:46 +0200] "GET / HTTP/1.1" 200 3538 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2251.0 Safari/537.36"
答案1
重复出现“cron”表示此会话是由 cron 作业启动的。不是表示一种妥协。