我在我的 auth.log 中发现了这个日志
Apr 21 03:36:10 mikigal sshd[18181]: Accepted password for mikigal from MY_HOME_IP_ADRESS port 51814 ssh2
Apr 21 03:36:10 mikigal sshd[18181]: pam_unix(sshd:session): session opened for user mikigal by (uid=0)
Apr 21 03:36:10 mikigal systemd-logind[682]: New session 11 of user mikigal.
Apr 21 03:36:11 mikigal sshd[18189]: Received disconnect from MY_HOME_IP_ADRESS port 51814:11: Normal Shutdown, Thank you for playing
Apr 21 03:36:11 mikigal sshd[18189]: Disconnected from MY_HOME_IP_ADRESS port 51814
Apr 21 03:36:11 mikigal sshd[18181]: pam_unix(sshd:session): session closed for user mikigal
Apr 21 03:36:11 mikigal systemd-logind[682]: Removed session 11.
这些日志在随机时间出现,始终来自我的 IP 地址。出现这些日志时我的 PC 已关闭。我昨天在 VPS 上重新安装了系统,因为我认为我的服务器上存在一些恶意软件,但日志仍然存在。
最后一个命令输出:
mikigal pts/1 MY_HOME_IP_ADRESS Sat Apr 21 12:37 still logged in
mikigal pts/1 MY_HOME_IP_ADRESS Sat Apr 21 11:35 - 12:15 (00:39)
mikigal pts/1 MY_HOME_IP_ADRESS Sat Apr 21 04:20 - 04:22 (00:01)
mikigal pts/1 MY_HOME_IP_ADRESS Sat Apr 21 04:04 - 04:05 (00:00)
mikigal pts/1 MY_HOME_IP_ADRESS Sat Apr 21 04:04 - 04:04 (00:00)
mikigal pts/0 MY_HOME_IP_ADRESS Sat Apr 21 03:15 - 04:16 (01:01)
root pts/0 MY_HOME_IP_ADRESS Sat Apr 21 03:07 - 03:14 (00:06)
reboot system boot 4.9.0-6-amd64 Sat Apr 21 03:07 still running
root pts/0 MY_HOME_IP_ADRESS Sat Apr 21 03:04 - down (00:02)
reboot system boot 4.9.0-3-amd64 Sat Apr 21 03:04 - 03:07 (00:03)
wtmp begins Sat Apr 21 03:04:01 2018
上次输出中不存在 auth.log 中 03:36:11 的登录信息。fail2ban.log 中没有关于此登录的信息。我有 Debian 9。系统和数据包已更新到最新版本。
这是正常的吗?我已经安装了 fail2ban,禁用了 root 登录,自定义了 SSH/SFTP 端口。
答案1
它们可能是 SFTP 或 SCP 会话:OpenSSHsshd无法将它们识别为交互式会话,因此不会将它们记录到/var/log/wtmp命令last读取中。Normal Shutdown是来自sshd,Thank you for playing是客户端在干净关闭时发送的消息。 这些日志行本身的内容没有任何可疑之处。
Fail2Ban 在这里不起作用,因为
- 它不是某个随机 IP 地址,而是你的 IP,甚至可以被列入白名单
- 这是一次成功的连接:没有失败,没有被禁止。
家庭网络上的任何设备是否可以进行某种形式的自动备份?
连接使用密码验证。您是否尝试过更改密码?