我在运行CentOS的远程虚拟服务器上以root身份工作(启用了SELinux)。没有人应该知道我的登录凭据。但是我在shell历史记录中注意到以下命令序列:
mount
top
mount
less /etc/cron.daily/logrotate
/usr/sbin/logrotate /etc/logrotate.conf
ll /usr/bin/fail2ban-client
less /var/log/messages
crontab -e
ip a
less /var/log/messages-20141228
less /var/log/messages-20150105
less /proc/sys/kernel/softlockup_panic
cd /proc/sys/kernel/
grep softlockup *
ll
grep time *
grep 10 *
grep intel_idle.max_cstate *
grep max_cstate *
cd ..
ll
vim /etc/sysctl.conf
vim /etc/sysctl.d/99-sysctl.conf
less /etc/sysconfig/grub
cat /proc/cmdline
这是由某种cron-process引起的还是类似的?或者我应该担心一些入侵者?
答案 0 :(得分:1)
我很担心。您的shell历史记录仅包含从交互式命令shell运行的命令。
所以这似乎是其他人登录的证据。
但我假设的访客在那里做什么呢?
他所做的大部分工作都是看事情。看起来像管理员检查问题的证据。
检查" / etc / sysctl"文件实际上已编辑。
有关事情是你有一个意想不到的访客。但有可能是服务提供商的管理员。可以想象,他们通过与您使用的帐户不同的帐户合法地拥有对虚拟的root访问权限。
你也可能正在与某人/某些更复杂的事物打交道...这是一条虚假的痕迹,旨在让你摆脱他/她/它真正做的事情的气味。
如果他们的管理员可以进入您的虚拟机,我会询问服务提供商(管理虚拟化的人员等),如果是这样的话。毕竟,你没有任何证据(在这段历史中)有人改变事物或寻求访问虚拟信息的私人信息。