我注意到我的服务器上有可疑的 root 帐户登录,因此我创建了新的管理员帐户并为该帐户分配了 root 权限并禁用了该 root 帐户。查看了 /var/log/auth.log 文件并发现不再有来自可疑 ip 的登录,但它显示:
Oct 25 06:06:01 SERVERHOSTNAME CRON[10452]: pam_unix(cron:session): session opened for user root by (uid=0)
Oct 25 06:06:01 SERVERHOSTNAME CRON[10452]: pam_unix(cron:session): session closed for user root
这些是计划的 cron 作业吗?可以忽略它们吗?
答案1
会话条目是由于某个cron作业以 身份运行root。它于 06:06 生成。
检查相关cron条目root并查明当时正在运行的具体内容。
可能需要查看的地方:
/etc/crontab/etc/cron.d/*/etc/cron.hourly/*- 根
crontab:crontab -e作为root
如果anacron未处于活动状态:
/etc/cron.daily/*/etc/cron.weekly/*/etc/cron.monthly/*
补充一下,如果您的系统之前被入侵过,请停止使用它,备份(如果需要),重新设置操作系统。稍后您可以分析备份内容,进一步挖掘入侵情况。