Я заметил следующую странную запись из моей «последней» команды с IP-адреса в Румынии:
user pts/0 89.123.111.228 Sat Jul 28 12:48 - 12:48 (00:00)
Мне интересно, означает ли это, что меня взломали? Но там написано, что они вошли в систему в течение 0 минут, значит ли это, что они не смогли? Я не могу найти ответ на страницах руководства.
Похоже, что это успешный вход в систему продолжительностью менее одной минуты. В last
По умолчанию команда показывает только успешные входы в систему.
Вы можете подтвердить это, проверив свои системные журналы (например, /var/log/messages
и /var/log/audit/audit.log
) и ищет события входа и выхода.
Недавно у меня была возможность исследовать взломанную машину, и компрометация следовала аналогичной схеме. После первый При успешном взломе злоумышленник может просто записать информацию о вашем сервере, чтобы позже передать ее другим преступникам. Если ваша система остается открытой, ожидайте входа в систему в течение следующих нескольких дней со всего мира.