有一台 CentOS 6 主机,有配置一个 production 的帐号,默认登入 shell 是 /sbin/nologin 此帐号通过 ftp 上传下载档案
production:x:508:508::/home/production:/sbin/nologin
今日警察通知有人通过此主机盗刷信用卡,还提供了远程连接 IP,检查 /var/log/secure 日志,发现有人远程登入此帐号几次(同一分钟内) 只有两行日志,重复了几次
Accepted password for production from yyy.yyy.yyy.yyy port 41399 ssh2
pam_unix(sshd:session): session opened for user production by (uid=0)
我测试 ssh production@ip 输入密码,/var/log/secure 日志提示如下,看起来不能 ssh 连接成功(下面多了两行信息)
Accepted password for production from xxx.xxx.xxx.xxx port 58670 ssh2
pam_unix(sshd:session): session opened for user production by (uid=0)
Received disconnect from xxx.xxx.xxx.xxx: 11: disconnected by user
pam_unix(sshd:session): session closed for user production
目前已经修改了 production 帐号密码
各位大佬,这种情况有什么检测主机是否被入侵的方法吗?越详细越好,谢谢!
production:x:508:508::/home/production:/sbin/nologin
今日警察通知有人通过此主机盗刷信用卡,还提供了远程连接 IP,检查 /var/log/secure 日志,发现有人远程登入此帐号几次(同一分钟内) 只有两行日志,重复了几次
Accepted password for production from yyy.yyy.yyy.yyy port 41399 ssh2
pam_unix(sshd:session): session opened for user production by (uid=0)
我测试 ssh production@ip 输入密码,/var/log/secure 日志提示如下,看起来不能 ssh 连接成功(下面多了两行信息)
Accepted password for production from xxx.xxx.xxx.xxx port 58670 ssh2
pam_unix(sshd:session): session opened for user production by (uid=0)
Received disconnect from xxx.xxx.xxx.xxx: 11: disconnected by user
pam_unix(sshd:session): session closed for user production
目前已经修改了 production 帐号密码
各位大佬,这种情况有什么检测主机是否被入侵的方法吗?越详细越好,谢谢!
1
Select Language