我最近设置了两个运行 Ubuntu 16.04 的虚拟服务器。在完成服务器的基本配置(ufw、fail2ban、sshd 配置)后,我断开了与服务器的连接。
第二天我通过 SSH 重新连接。为了检查服务器是否在此期间被“黑客入侵”,我运行了
$ last
我有点儿心烦意乱:虽然我前一天确实进行过一些“登录”,但命令没有显示任何条目。因此,我过早地认为有人入侵了我的服务器,并清除了 wtmp 日志文件以掩盖其入侵行为。
经过仔细查看,我发现该文件wtmp.1存在于我的/var/log/目录中。所以我运行
$ last -f /var/log/wtmp.1
输出似乎很好 - 没有未知登录。现在我的问题是:
为什么我的两台服务器在半天后就“归档”了所有日志文件(wtmp.1、 、...)。虽然我的答案很简单:auth.log.1/etc/logrotate
su root syslog
rotate 4
create
# packages drop log rotation information into this directory
include /etc/logrotate.d
# no packages own wtmp, or btmp -- we'll rotate them here
/var/log/wtmp {
missingok
monthly
create 0664 root utmp
rotate 1
}
/var/log/btmp {
missingok
monthly
create 0660 root utmp
rotate 1
}
我有可能被黑客入侵了吗?或者如何解释这种行为?
提前致谢!