我有一个 ubuntu 盒子,并在 /var/run/systemd/sessions 中找到了这个“2”文件。第一个想法是我被黑客攻击了,因为据我所知,我不认识这个IP地址并且没有明确配置这个文件。
57.36.154.104.bc.googleusercontent.com
注意,我的非 root 用户是 rsmit。
知道这个“2”文件的用途吗?
root@willow1:/var/run/systemd/sessions# uname -a
Linux willow1 3.13.0-71-generic #114-Ubuntu SMP Tue Dec 1 02:34:22 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux
root@willow1:/var/run/systemd/sessions# ls -altr
total 4
drwxr-xr-x 5 root root 100 Feb 25 17:04 ..
prw------- 1 root root 0 Feb 27 19:42 2.ref
-rw-r--r-- 1 root root 277 Feb 27 19:42 2
drwxr-xr-x 2 root root 80 Feb 27 19:42 .
root@willow1:/var/run/systemd/sessions# cat 2
# This is private data. Do not parse.
UID=1000
USER=rsmit
ACTIVE=1
STATE=active
REMOTE=1
KILL_PROCESSES=0
TYPE=tty
CLASS=user
CGROUP=/user/1000.user/2.session
FIFO=/run/systemd/sessions/2.ref
REMOTE_HOST=57.36.154.104.bc.googleusercontent.com
SERVICE=sshd
LEADER=2107
AUDIT=2
root@willow1:/var/run/systemd/sessions#
答案1
您还可以通过 访问此信息loginctl show-session 2并通过 列出所有活动会话loginctl list-sessions。
该记录的含义是存在来自57.36.154.104.bc.googleusercontent.com用户的活动 SSH 连接rsmit。
因此,除非您知道该域中的某个人应该登录,否则rsmit我建议您寻找立即做出适当的事件响应。
(断开机器与网络的连接,检查日志,检查正在运行的进程等)