우분투 상자가 있고 /var/run/systemd/sessions에서 이 "2" 파일을 찾았습니다. 첫 번째 생각은 내가 아는 한 이 IP 주소를 인식하지 못하고 이 파일을 명시적으로 구성하지 않았기 때문에 해킹을 당했다는 것입니다.
57.36.154.104.bc.googleusercontent.com
루트가 아닌 사용자는 rsmit입니다.
이 "2" 파일의 목적을 알고 계십니까?
root@willow1:/var/run/systemd/sessions# uname -a
Linux willow1 3.13.0-71-generic #114-Ubuntu SMP Tue Dec 1 02:34:22 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux
root@willow1:/var/run/systemd/sessions# ls -altr
total 4
drwxr-xr-x 5 root root 100 Feb 25 17:04 ..
prw------- 1 root root 0 Feb 27 19:42 2.ref
-rw-r--r-- 1 root root 277 Feb 27 19:42 2
drwxr-xr-x 2 root root 80 Feb 27 19:42 .
root@willow1:/var/run/systemd/sessions# cat 2
# This is private data. Do not parse.
UID=1000
USER=rsmit
ACTIVE=1
STATE=active
REMOTE=1
KILL_PROCESSES=0
TYPE=tty
CLASS=user
CGROUP=/user/1000.user/2.session
FIFO=/run/systemd/sessions/2.ref
REMOTE_HOST=57.36.154.104.bc.googleusercontent.com
SERVICE=sshd
LEADER=2107
AUDIT=2
root@willow1:/var/run/systemd/sessions#
답변1
loginctl show-session 2모든 활성 세션을 나열하여 이 정보에 액세스할 수도 있습니다 loginctl list-sessions.
이 기록의 의미는 57.36.154.104.bc.googleusercontent.com사용자의 활성 SSH 연결이 있다는 것입니다 rsmit.
따라서 해당 도메인의 누군가가 로그인해야 한다는 것을 알지 않는 한, 다음 rsmit을 찾아보는 것이 좋습니다.즉각적이고 적절한 사고 대응.
(네트워크에서 머신 연결 끊기, 로그 확인, 실행 중인 프로세스 확인 등)