Недавно я установил два виртуальных сервера под управлением Ubuntu 16.04. После базовой настройки серверов (ufw, fail2ban, sshd config) я отключился от серверов.
На следующий день переподключился по SSH. Чтобы проверить, не "взломаны" ли серверы, я запустил
$ last
И у меня случился небольшой сердечный приступ: команда не показала ни одной записи, хотя накануне я сделал некоторый вход в систему. Поэтому я преждевременно предположил, что кто-то взломал мои серверы и очистил файлы журнала wtmp, чтобы скрыть свое вторжение.
Посмотрев повнимательнее, я обнаружил, что файл wtmp.1 существует в моем /var/log/ каталог. Так что я побежал
$ last -f /var/log/wtmp.1
И выход вроде бы нормальный - неизвестных логинов нет. Теперь мой вопрос:
Почему два моих сервера "заархивировали" все файлы журналов (wtmp.1, auth.log.1, ...) всего через полдня. Хотя мой /etc/logrotate довольно простой:
su root syslog
rotate 4
create
# packages drop log rotation information into this directory
include /etc/logrotate.d
# no packages own wtmp, or btmp -- we'll rotate them here
/var/log/wtmp {
missingok
monthly
create 0664 root utmp
rotate 1
}
/var/log/btmp {
missingok
monthly
create 0660 root utmp
rotate 1
}
Есть ли шанс, что меня взломали - или как объяснить такое поведение?
Заранее спасибо!