Сегодня я обнаружил, что /var/log/auth.log В файле есть записи только за последнюю неделю, и я подозреваю, что меня взломали с использованием небезопасного пароля SSH, и злоумышленник удалил журналы доступа, чтобы избежать обнаружения.
Вот первые строчки журнала:
Jun 26 06:44:58 server CRON[14297]: pam_unix(cron:session): session closed for user root
Jun 26 06:47:01 server CRON[14484]: pam_unix(cron:session): session opened for user root by (uid=0)
Jun 26 06:47:02 server CRON[14484]: pam_unix(cron:session): session closed for user root
Jun 26 07:17:01 server CRON[14515]: pam_unix(cron:session): session opened for user root by (uid=0)
Jun 26 07:17:01 server CRON[14515]: pam_unix(cron:session): session closed for user root
Jun 26 08:17:01 server CRON[14518]: pam_unix(cron:session): session opened for user root by (uid=0)
Jun 26 08:17:01 server CRON[14518]: pam_unix(cron:session): session closed for user root
Jun 26 09:17:01 server CRON[14521]: pam_unix(cron:session): session opened for user root by (uid=0)
Jun 26 09:17:01 server CRON[14521]: pam_unix(cron:session): session closed for user root
Jun 26 10:17:01 server CRON[14524]: pam_unix(cron:session): session opened for user root by (uid=0)
Jun 26 10:17:01 server CRON[14524]: pam_unix(cron:session): session closed for user root
Jun 26 11:17:01 server CRON[14527]: pam_unix(cron:session): session opened for user root by (uid=0)
Jun 26 11:17:01 server CRON[14527]: pam_unix(cron:session): session closed for user root
Jun 26 12:17:01 server CRON[14530]: pam_unix(cron:session): session opened for user root by (uid=0)
Jun 26 12:17:01 server CRON[14530]: pam_unix(cron:session): session closed for user root
Jun 26 13:16:29 server login[1022]: pam_unix(login:auth): check pass; user unknown
Jun 26 13:16:29 server login[1022]: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=/dev/tty1 ruser= rhost=
Jun 26 13:16:32 server login[1022]: FAILED LOGIN (1) on '/dev/tty1' FOR 'UNKNOWN', Authentication failure
Jun 26 13:17:01 server CRON[14533]: pam_unix(cron:session): session opened for user root by (uid=0)
Jun 26 13:17:01 server CRON[14533]: pam_unix(cron:session): session closed for user root
Jun 26 13:17:09 server login[1022]: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=/dev/tty1 ruser= rhost= user=root
Jun 26 13:17:13 server login[1022]: FAILED LOGIN (2) on '/dev/tty1' FOR 'root', Authentication failure
Jun 26 13:17:18 server login[1022]: FAILED LOGIN (3) on '/dev/tty1' FOR 'root', Authentication failure
Jun 26 13:17:23 server login[1022]: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=/dev/tty1 ruser= rhost= user=vagrant
Jun 26 13:17:34 server login[14536]: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=/dev/tty1 ruser= rhost= user=vagrant
Jun 26 13:17:36 server login[14536]: FAILED LOGIN (1) on '/dev/tty1' FOR 'vagrant', Authentication failure
Это нормально? Это должно быть полным?
Ответ на ваш вопрос зависит от настроенного вами ротации журналов. По умолчанию Ubuntu настроен на ротацию файлов журнала, поэтому вы должны увидеть файлы, похожие на следующие, в / var / log
auth.log
auth.log.1
auth.log.2.gz
auth.log.3.gz
auth.log.4.gz
Первый файл (auth.log) - это текущий журнал, причем auth.log.1 - это более старые записи, а auth.log.2.gz - еще более старые записи, сжатые с помощью gz. Чем больше число, тем дальше в прошлое находятся записи журнала.
Вы можете проверить настройки ротации журналов, просмотрев /etc/logrotate.d/rsyslog, который в Ubuntu 14.04 содержит такой раздел:
/var/log/mail.info
...
/var/log/kern.log
/var/log/auth.log
/var/log/user.log
...
/var/log/messages
{
rotate 4
weekly
missingok
notifempty
compress
delaycompress
sharedscripts
postrotate
reload rsyslog >/dev/null 2>&1 || true
endscript
}
Первая строка указывает на необходимость сохранения 4 старых версий, а следующая устанавливает их еженедельное ротацию.
Если ротация журнала такая же, можно ожидать, что файл auth.log будет обновляться (переименован в auth.log.1) каждую неделю. Просмотрите журнал auth.log.1 и убедитесь, что самые последние записи следуют за самыми старыми записями в auth.log. Если это так, у вас, кажется, ведется непрерывный журнал, и все работает «нормально» (с ротацией журналов, как ожидалось).
Что касается безопасности журналов, дата изменения файлов журнала не должна быть новее, чем самая последняя запись журнала в этом файле или дата его сжатия. Если вы видите, что журналы, сделанные несколько недель или месяцев назад, были изменены за последние несколько дней, это предупреждающий знак.
В основном, имеет ли смысл содержимое журналов? Совпадает ли время входа в систему со временем, используемым администраторами или другими пользователями, имеющими доступ? Для кого-то, у кого отключен вход в систему с правами root, ваши журналы будут довольно неприятными, но это может быть нормальным для вашей системы.
Примечание. Наличие «непрерывных» записей журнала от auth.log до auth.log.1 (и так далее) не означает, что ваш сервер безопасен. Злоумышленник, скорее всего, удалит только записи, относящиеся к его действиям, но не удалит большой раздел, что сделает его вторжение очевидным. Если вас беспокоит безопасность, вам следует проверить наличие руткитов, другого вредоносного программного обеспечения и необычных действий.