Регистрация Войти
Рейтинг:2
Jaquarh avatar Ubuntu

Я вижу что-то странное при выполнении команды w, и мне нужна помощь, чтобы понять это.

флаг cn
Jaquarh

Итак, я проверял сервер через некоторое время, не глядя на него, и запустил ж команда:

 01:10:46 до 11 дней, 2:53, 2 пользователя, средняя загрузка: 0,00, 0,05, 0,05
USER TTY ОТ LOGIN@ IDLE JCPU PCPU ЧТО
корень tty1 - вторник 21 2 дня 0,74 с 0,60 с -bash
корень pts/0 86.x.xxx.xx 22:18 0,00 с 0,28 с 0,00 с w

Я должен был быть единственным на сервере и понятия не имел, что это tty1 был или делает так что я побежал ps -aef --forest | грэп баш и нашел это, в частности

root 617 1 0 Aug01 tty1 00:00:00 /bin/login -p --

Когда я запустил убить -9 617 и проверил ж это было:

 01:11:18 до 11 дней, 2:54, 1 пользователь, средняя загрузка: 0,12, 0,07, 0,06
USER TTY ОТ LOGIN@ IDLE JCPU PCPU ЧТО
корень pts/0 86.x.xxx.xx 22:18 5,00 с 0,29 с 0,00 с w

Что это такое? я погуглил что /bin/логин -p -- был, но только получил информацию о --. Как там рут залогинился?

60
2 + 1
Jaquarh avatar
флаг cn
Jaquarh
Ubuntu 20.04 с установленными Docker и Docker Compose, это все, что на ней работает @guiverc
0
Ответить
Рейтинг:1
terdon avatar Ubuntu
флаг cn
terdon

Одна тревожная возможность заключается в том, что кто-то вошел в систему как root. Я могу воспроизвести что-то очень похожее на своей машине. Во-первых, я включил root-доступ по ssh, добавив это в /etc/ssh/sshd_config:

Разрешить RootLogin да

А затем перезапустил sshd оказание услуг:

перезапустить службу sudo sshd

И войдите в систему как root (обратите внимание, что я включил учетную запись root на этой машине, вы сделали то же самое?):

ssh root@localhost

Теперь, когда я бегу ж, Я понимаю:

$ ш
 17:06:36 вверх 3 мин, 2 пользователя, средняя загрузка: 1,98, 0,97, 0,38
USER TTY LOGIN@ IDLE JCPU PCPU ЧТО
тердон :0 17:04 ?xdm? 29,31 с 0,01 с /usr/lib/gdm-x-s
корень pts/3 17:06 24,00 с 0,00 с 0,00 с -bash

По крайней мере, вы не можете исключить возможность того, что злоумышленник получил доступ к вашей системе. Единственным решением в этом случае является восстановление из резервной копии или переустановка с нуля. Если кто-то получил root-доступ, просто невозможно быть уверенным, что он не сделал ничего плохого в противном случае.

0 + 7
Jaquarh avatar
флаг cn
Jaquarh
Повлияет ли это, если у меня будут только ключи RSA для входа в систему, а не пароль? Кроме того, когда я вхожу через ssh, я вижу `pts/` тоже. Но вместо этого я увидел `-`
0
Ответить
terdon avatar
флаг cn
terdon
@Jaquarh Я действительно не знаю. Я вообще не специалист по безопасности. Все, что я могу вам сказать, это то, что, выполнив то, что я описал выше, войдя в систему как пользователь root, я увидел нечто очень похожее.
0
Ответить
Jaquarh avatar
флаг cn
Jaquarh
Итак, я не видел его с тех пор, как убил его, и недавно мне стало интересно, не мог ли это быть мой KVM, который на самом деле никогда не прерывал свое соединение - я мог бы попробовать воспроизвести, используя свой KVM.
0
Ответить
terdon avatar
флаг cn
terdon
@Jaquarh да, пожалуйста, не принимайте мой ответ как авторитетное доказательство того, что ваша машина была скомпрометирована. Все, что я могу сказать, это то, что это _могло_ быть _одним_ объяснением. У меня нет знаний, чтобы сказать наверняка, и вы знаете, что делала машина.
0
Ответить
Jaquarh avatar
флаг cn
Jaquarh
хорошо да! это на самом деле причина, я вошел в систему через свою панель OVH и использовал KVM - после входа в систему я вижу «root tty1 - 15:47 42.00s 0.20s 0.07s -bash» теперь я закрываю браузер, и он остается активным - Я предполагаю, что KVM по какой-то причине никогда не закрывает соединение для входа в серверы, размещенные на OVH. Ваш пост помог мне увидеть это, спасибо!
0
Ответить
terdon avatar
флаг cn
terdon
ах, отличные новости! Не могли бы вы опубликовать это как ответ и принять его, чтобы его мог увидеть следующий человек с похожей проблемой?
0
Ответить
Jaquarh avatar
флаг cn
Jaquarh
Конечно, но я оставлю свой голос за ваш, потому что ваше объяснение помогло мне это увидеть! Спасибо, Тердон!
0
Ответить
Рейтинг:0
Jaquarh avatar Ubuntu
флаг cn
Jaquarh

Подумав над ответом @Terdons и для будущих зрителей, я нашел телетайп это экран, к которому он прикреплен, когда в ПТС/<номер> и в моем случае я использовал браузер KVM моего провайдера, который tty1 (нет экрана, оставайтесь в живых), и проблема заключалась в том, что браузер не убивал соединение KVM внутри сервера.

Если побежал смотреть ж и снова вошел на корневой сервер через мой KVM (внутренний доступ не требует ключа RSA), я увидел:

 15:51:54 до 12 дней, 17:34, 2 пользователя, средняя загрузка: 0,04, 0,05, 0,08
USER TTY ОТ LOGIN@ IDLE JCPU PCPU ЧТО
корень tty1 - 15:47 4:33 0,20 с 0,07 с -bash
root pts/0 xxxxxxxxxx 15:38 4:49 0,26 с 0,00 с смотреть w

Бинго. Если нет ОТ адрес указан(-), это физический вход с сервера.

Чтобы убить его, я сделал:

$ ps -aef --forest | grep tty1

root 2355734 1 0 Aug13 tty1 00:00:00 /bin/login -p --
корень 2687566 2355734 0 15:47 tty1 00:00:00 \_ -bash
root 2688963 2686083 0 15:54 pts/0 00:00:00 \_ grep --color=auto tty1

$ убить -9 2355734
$ ш

 15:55:00 до 12 дней, 17:37, 1 пользователь, средняя загрузка: 0,03, 0,03, 0,06
USER TTY ОТ LOGIN@ IDLE JCPU PCPU ЧТО
корень pts/0 xxxxxxxxx 15:38 4,00 с 0,08 с 0,01 с w
0 + 0
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.