내 서버가 이상한 동작을 보이고 있습니다. auth.log를 열고 다음을 발견했습니다(이것은 내 IP가 아닙니다).
Sep 16 16:38:23 xxxxxx sshd[750]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=194.59.249.21 user=root
Sep 16 16:38:25 xxxxxx sshd[750]: Failed password for root from 194.59.249.21 port 49252 ssh2
Sep 16 16:38:29 xxxxxx sshd[750]: Accepted password for root from 194.59.249.21 port 49252 ssh2
Sep 16 16:38:29 xxxxxx sshd[750]: pam_unix(sshd:session): session opened for user root by (uid=0)
.....
Sep 16 18:49:49 xxxxxx sshd[750]: pam_unix(sshd:session): session closed for user root
나는 이것을 다음과 같이 읽었습니다.
- 16:38:25 누군가 로그인을 시도했지만 비밀번호가 실패했습니다.
- 4초 후에 올바른 비밀번호를 입력하고 서버에 들어갑니다. (따라서 첫 번째 시도는 오타였을 것입니다.)
- 2시간 10분 후에 그들은 그만 두었습니다.
내 설명이 맞나요? 그렇다면 그들이 무엇을 했는지 보여주는 또 다른 로그가 있나요?
답변1
귀하의 설명이 정확합니다.
그들이 실행한 모든 명령을 보려면 사용자 기록 파일을 확인해야 합니다.
사용자가 루트이므로 /root/.bash_history에 위치합니다.
다른 사용자의 경우 /home/username/.bash_history입니다.
권한 있는 명령을 실행 중인 경우 /var/log/secure에 있을 수 있지만 루트이므로 sudo를 사용할 필요가 없으므로 그렇지 않을 수도 있습니다.