Назад | Перейти на главную страницу

Команда «последняя» указывает на то, что кто-то вошел в систему в 00:00 - наш сервер был скомпрометирован?

Я заметил следующую странную запись из моей «последней» команды с IP-адреса в Румынии:

user pts/0        89.123.111.228   Sat Jul 28 12:48 - 12:48  (00:00)

Мне интересно, означает ли это, что меня взломали? Но там написано, что они вошли в систему в течение 0 минут, значит ли это, что они не смогли? Я не могу найти ответ на страницах руководства.

Похоже, что это успешный вход в систему продолжительностью менее одной минуты. В last По умолчанию команда показывает только успешные входы в систему.

Вы можете подтвердить это, проверив свои системные журналы (например, /var/log/messages и /var/log/audit/audit.log) и ищет события входа и выхода.

Недавно у меня была возможность исследовать взломанную машину, и компрометация следовала аналогичной схеме. После первый При успешном взломе злоумышленник может просто записать информацию о вашем сервере, чтобы позже передать ее другим преступникам. Если ваша система остается открытой, ожидайте входа в систему в течение следующих нескольких дней со всего мира.