安全 - Linux的audit.log日志审计
天蓬老师
天蓬老师 2017-04-17 16:37:08
0
3
1399

我在阿里云买了一台主机,然后最近发现数据库被删了.查看audit.log时候发现一些可疑IP的ssh远程登录.例如下面这些信息,是否可以断定被黑客入侵了.

type=USER_LOGIN msg=audit(1483695199.639:6342): pid=xxxxxxx uid=0 auid=xxxxxxx ses=xxxxxxx msg='op=login acct=xxxxxxx exe="/usr/sbin/sshd" hostname=? addr=xxxxxxx terminal=ssh res=failed'
type=USER_AUTH msg=audit(1483695199.643:6343): pid=xxxxxxx uid=0 auid=xxxxxxx ses=xxxxxxx msg='op=PAM:authentication grantors=? acct="?" exe="/usr/sbin/sshd" hostname=xxxxxxx addr=xxxxxxx terminal=ssh res=failed'
type=USER_AUTH msg=audit(1483695201.437:6344): pid=xxxxxxx uid=0 auid=xxxxxxx ses=xxxxxxx msg='op=password acct=xxxxxxx exe="/usr/sbin/sshd" hostname=? addr=xxxxxxx terminal=ssh res=failed'
type=USER_AUTH msg=audit(1483695201.749:6345): pid=xxxxxxx uid=0 auid=xxxxxxx ses=xxxxxxx msg='op=PAM:authentication grantors=? acct="?" exe="/usr/sbin/sshd" hostname=xxxxxxx addr=xxxxxxx terminal=ssh res=failed'
type=USER_AUTH msg=audit(1483695204.151:6346): pid=xxxxxxx uid=0 auid=xxxxxxx ses=xxxxxxx msg='op=password acct=xxxxxxx exe="/usr/sbin/sshd" hostname=? addr=xxxxxxx terminal=ssh res=failed'
type=USER_AUTH msg=audit(1483695204.464:6347): pid=xxxxxxx uid=0 auid=xxxxxxx ses=xxxxxxx msg='op=PAM:authentication grantors=? acct="?" exe="/usr/sbin/sshd" hostname=xxxxxxx addr=xxxxxxx terminal=ssh res=failed'
type=USER_AUTH msg=audit(1483695205.943:6348): pid=xxxxxxx uid=0 auid=xxxxxxx ses=xxxxxxx msg='op=password acct=xxxxxxx exe="/usr/sbin/sshd" hostname=? addr=xxxxxxx terminal=ssh res=failed'
type=CRYPTO_KEY_USER msg=audit(1483695206.255:6349): pid=28805 uid=0 auid=xxxxxxx ses=xxxxxxx msg='op=destroy kind=session fp=? direction=both spid=xxxxxxx suid=xxxxxxx rport=xxx laddr=xxxxxxx lport=22  exe="/usr/sbin/sshd" hostname=? addr=xxxxxxx terminal=? res=success'
type=CRYPTO_KEY_USER msg=audit(1483695206.256:6350): pid=28805 uid=0 auid=xxxxxxx ses=xxxxxxx msg='op=destroy kind=server fp=xxxxxxx direction=? spid=xxxxxxx suid=0  exe="/usr/sbin/sshd" hostname=? addr=xxxxxxx terminal=? res=success'
type=CRYPTO_KEY_USER msg=audit(1483695206.256:6351): pid=28805 uid=0 auid=xxxxxxx ses=xxxxxxx msg='op=destroy kind=server fp=xxxxxxx direction=? spid=xxxxxxx suid=0  exe="/usr/sbin/sshd" hostname=? addr=xxxxxxx terminal=? res=success'
天蓬老师
天蓬老师

欢迎选择我的课程,让我们一起见证您的进步~~

全部回覆(3)
phpcn_u3069

好奇 CRYPTO_KEY_USER 是什麼意思?我這邊的日誌 有一些很陌生的IP,最後也是 success,是否代表被登入過?

Peter_Zhu

基本上可以確認,而且應該是透過暴力破解的手段進入你的機器的

現在網路上很多駭客的機器24小時不間斷爆破整個IP段,掃描存在的弱口令並嘗試自動登錄,所以盡量不要使用弱口令,並限制短時間內的登陸次數。

伊谢尔伦

可以考慮一般使用者使用公鑰登錄,並禁止密碼和root使用者登入。

熱門教學
更多>
最新下載
更多>
網站特效
網站源碼
網站素材
前端模板