我使用的是 VPS ubuntu 服务器,其中安装了 fail2ban。我禁用了 root 登录并禁用了密码访问。今天看到我的 auth.log 和 fail2ban 状态后,我担心是否有人访问了我的系统。
我还看到我的 ssh 连接断开,提示端口被 SOME_IP 重置。我还观察到的一件事是,当我输入 clear 命令时,我的工作目录路径从 root@ubuntu-1:/home/dadu# 更改为 root@ubuntu-1:/home/dadu#(即两次)。
我是 ubuntu 新手。请告诉我是否有人访问过我的系统。
|- Filter
| |- Currently failed: 0
| |- Total failed: 119
| `- File list: /var/log/auth.log
`- Actions
|- Currently banned: 1
|- Total banned: 2
`- Banned IP list: 185.43.209.173
root@ubuntu-1:/home/dadu# sudo fail2ban-client status
Status
|- Number of jail: 1
`- Jail list: sshd
root@ubuntu-1:/home/dadu# sudo tail /var/log/auth.log
Sep 10 20:13:24 ubuntu-1 systemd: pam_unix(systemd-user:session): session opened for user dadu by (uid=0)
Sep 10 20:13:24 ubuntu-1 systemd-logind[895]: New session 94 of user dadu.
Sep 10 20:13:45 ubuntu-1 sudo: dadu : TTY=pts/0 ; PWD=/home/dadu ; USER=root ; COMMAND=/bin/su
Sep 10 20:13:45 ubuntu-1 sudo: pam_unix(sudo:session): session opened for user root by dadu(uid=0)
Sep 10 20:13:45 ubuntu-1 su[9436]: Successful su for root by root
Sep 10 20:13:45 ubuntu-1 su[9436]: + /dev/pts/0 root:root
Sep 10 20:13:45 ubuntu-1 su[9436]: pam_unix(su:session): session opened for user root by dadu(uid=0)
Sep 10 20:13:45 ubuntu-1 su[9436]: pam_systemd(su:session): Cannot create session: Already running in a session
Sep 10 20:15:19 ubuntu-1 sudo: root : TTY=pts/0 ; PWD=/home/dadu ; USER=root ; COMMAND=/usr/bin/tail /var/log/auth.log
Sep 10 20:15:19 ubuntu-1 sudo: pam_unix(sudo:session): session opened for user root by dadu(uid=0)
Sep 10 20:25:05 ubuntu-1 sshd[9899]: Disconnecting authenticating user root 112.123.58.229 port 59061: Too many authentication failures [preauth]
Sep 10 20:29:13 ubuntu-1 sshd[22499]: Received disconnect from 218.98.26.181 port 31528:11: [preauth]
Sep 10 20:29:13 ubuntu-1 sshd[22499]: Disconnected from authenticating user root 218.98.26.181 port 31528 [preauth]
Sep 10 20:30:12 ubuntu-1 sudo: root : TTY=pts/0 ; PWD=/home/dadu ; USER=root ; COMMAND=/usr/bin/fail2ban-client status sshd
Sep 10 20:30:12 ubuntu-1 sudo: pam_unix(sudo:session): session opened for user root by dadu(uid=0)
Sep 10 20:30:12 ubuntu-1 sudo: pam_unix(sudo:session): session closed for user root
Sep 10 20:32:38 ubuntu-1 sshd[22552]: Received disconnect from 218.98.40.139 port 35499:11: [preauth]
Sep 10 20:32:38 ubuntu-1 sshd[22552]: Disconnected from 218.98.40.139 port 35499 [preauth]
Sep 10 20:34:22 ubuntu-1 sudo: root : TTY=pts/0 ; PWD=/home/dadu ; USER=root ; COMMAND=/usr/bin/tail /var/log/auth.log
Sep 10 20:34:22 ubuntu-1 sudo: pam_unix(sudo:session): session opened for user root by dadu(uid=0)```
答案1
您没有提供证据(或理由相信)您的系统已被黑客入侵。当您以 root 身份禁用 ssh 时,您就阻止了人们使用 root 帐户登录 SSH。
这里发生的事情是某人 - dadu(我猜就是你)将他们的权限提升到 root 以便执行某些操作 - 这不是一件不正常的事情。如果你使用过任何使用“su”和“sudo ...”的命令/脚本,那么这就是你。如果你确定你或你授权的任何人都没有发出命令,那么你的系统很可能受到了损害。当然,fail2ban 需要以 root 身份运行,因此如果你安装了它(或进行了任何系统范围的软件升级或类似操作),这可能是一个可能的解释。
root@ubuntu-1:/home/dadu# 多次出现并不表示存在妥协,而是窗口/bash 环境中的错误/错误的配置设置,不值得担心。
答案2
我从 auth.log 收到的消息中没有发现任何特殊之处。
要检查谁已连接到您的 Linux 系统,请使用“last”命令。尝试“last -iwn10”。请参阅“man last”了解说明。
如果只有几行可以归因于合法操作,那么您不必担心 SSH 滥用(或任何其他涉及系统登录的情况)。
话虽如此,我还是要提醒大家,永远不要依赖可能被攻陷的系统的本地日志,因为攻击者可能已经篡改了它们。这不仅适用于 Linux,也适用于任何计算机系统。
为了确保万无一失,可以事先做一些准备。例如,他们可以安装安全日志服务器并配置相关服务器以将所有系统日志远程发送到该日志服务器。这样,即使攻击者已经渗透到服务器并从本地日志中删除了他们的存在,他们的存在仍然会从远程日志服务器收集的日志中显现出来。仍然有一些问题,但我觉得没有必要深入探讨细节。