Назад | Перейти на главную страницу

Apache в списке последних входов

Я установил для пользователя apache / sbin / nologin в качестве оболочки, но он все равно много раз появляется в списке последних входов в систему (last command) - вероятно, кем-то, кого я точно не хотел этого делать.

Что мне здесь не хватает, что еще может вызвать запись в списке последних логинов? Очевидно, он смог войти в систему без оболочки ?!

Вот некоторые записи, если это поможет.

root     pts/0        xx     Sat Feb 20 13:36   still logged in   
apache   pts/0        xx     Fri Feb 19 01:20 - 01:20  (00:00)    
apache   pts/0        xx     Mon Feb 15 08:57 - 08:57  (00:00)    
apache   pts/0        xx     Wed Feb 10 22:23 - 22:23   (00:00)    
root     pts/0        xx     Sun Feb  7 17:27 - 03:40  (10:13)    
apache   pts/0        xx     Sat Feb  6 16:53 - 16:53  (00:00)    
root     pts/0        xx     Tue Feb  2 18:39 - 18:53  (00:13)    
root     pts/0        xx     Tue Feb  2 18:24 - 18:36  (00:12)    
apache   pts/0        xx     Mon Feb  1 22:48 - 22:48  (00:00)    
apache   pts/0        xx     Mon Feb  1 22:47 - 22:47  (00:00)    
apache   pts/0        xx     Mon Feb  1 22:47 - 22:47  (00:00)    
apache   pts/0        xx     Mon Feb  1 03:09 - 03:09  (00:00)

Также я заметил, что кто-то пробовал множество других учетных записей (httpd, apache2, httpd2, httpdocs и т. Д.), Что (конечно) не удалось. Список неудачных попыток входа недостаточен для грубой силы, поэтому мне интересно, как он смог войти в конце ...

Спасибо за любые подсказки заранее

Этот ответ также предназначен для тех, кто может столкнуться с этой веткой в ​​поисках советов, особенно если аудит и уведомления не были настроены.

Вы запретили пользователю вход в систему?

grep apache /etc/passwd

Проверить /bin/false или /usr/sbin/nologin или /sbin/nologin в конце записи для пользователя.

История неудачных попыток входа

lastb apache

Это покажет вам количество неудачных попыток входа в систему пользователем apache. (Выход lastb показывает записи журнала из /var/log/btmp, в то время как last показывает записи /var/log/wtmp)

Частота и время входа в систему

Проверьте вывод last. Пользователь входит в систему в случайное время? Или это происходит каждый день в определенное время?

Неудачные логины и IP-адреса

grep 'apache' /var/log/auth.log

Поскольку вы сказали, что были неудачные попытки входа в систему, /var/log/auth.log должны иметь IP-адреса, с которых произошли эти попытки входа в систему (через SSH). Обратите особое внимание на последние неудачные попытки, сделанные непосредственно перед первой успешной попыткой входа в систему. Последний можно найти, проверив вывод last по сравнению с lastb. Вы также можете сравнить записи журнала в /var/log/btmp против тех, кто в /var/log/wtmp.