免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
12下一页
最近访问板块 发新帖
查看: 10774 | 回复: 10
打印 上一主题 下一主题

[系统安全] 这个系统日志有问题吗 [复制链接]

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2014-07-25 14:35 |只看该作者 |倒序浏览
本帖最后由 oaHgniD 于 2014-07-25 14:38 编辑

如题,下面是/var/log/secure目录下的部分内容
服务器之前密码应该是被暴力破解了,后来我改了一个复杂密码。
请帮我看下这些日志有什么问题没,尤其是 Jul 22 的
还有,除root外,这个cool应该是黑客建立的用户吧?qpidd、postgres又是什么呢?

Jun  3 15:41:38 west231 sshd[32604]: Accepted password for root from 183.1.206.193 port 49798 ssh2
Jun  3 15:41:38 west231 sshd[32604]: pam_unix(sshd:session): session opened for user root by (uid=0)
Jun  3 17:04:04 west231 sshd[505]: Accepted password for root from 183.1.206.193 port 52061 ssh2
Jun  3 17:04:04 west231 sshd[505]: pam_unix(sshd:session): session opened for user root by (uid=0)
Jun  3 17:12:14 west231 sshd[505]: pam_unix(sshd:session): session closed for user root
Jun  3 18:11:52 west231 sshd[32604]: pam_unix(sshd:session): session closed for user root
Jun 12 09:05:45 west231 sshd[23903]: Accepted password for root from 106.186.127.63 port 55354 ssh2
Jun 12 09:05:45 west231 sshd[23903]: pam_unix(sshd:session): session opened for user root by (uid=0)
Jun 12 09:25:05 west231 sshd[23903]: pam_unix(sshd:session): session closed for user root
Jun 12 16:28:46 west231 sshd[24649]: Accepted password for root from 183.1.202.162 port 37069 ssh2
Jun 12 16:28:46 west231 sshd[24649]: pam_unix(sshd:session): session opened for user root by (uid=0)
Jun 12 17:45:20 west231 sshd[24649]: pam_unix(sshd:session): session closed for user root
Jun 13 11:00:41 west231 sshd[29668]: Accepted password for root from 183.1.202.162 port 42377 ssh2
Jun 13 11:00:41 west231 sshd[29668]: pam_unix(sshd:session): session opened for user root by (uid=0)
Jun 13 15:03:52 west231 sshd[29668]: pam_unix(sshd:session): session closed for user root
Jul  1 08:23:51 west231 sshd[17325]: Connection closed by 27.149.159.141
Jul  1 08:24:00 west231 sshd[17327]: Accepted password for cool from 27.149.159.141 port 40718 ssh2
Jul  1 08:24:00 west231 sshd[17327]: pam_unix(sshd:session): session opened for user cool by (uid=0)
Jul  1 10:06:26 west231 sshd[17327]: pam_unix(sshd:session): session closed for user cool
Jul 22 23:36:34 west231 sshd[1015]: Server listening on 0.0.0.0 port 22000.
Jul 22 23:36:34 west231 sshd[1015]: Server listening on :: port 22000.
Jul 22 23:36:36 west231 runuser: pam_unix(runuser-l:session): session opened for user postgres by (uid=0)
Jul 22 23:36:36 west231 runuser: pam_unix(runuser-l:session): session closed for user postgres
Jul 22 23:36:47 west231 runuser: pam_unix(runuser:session): session opened for user qpidd by (uid=0)
Jul 22 23:36:47 west231 runuser: pam_unix(runuser:session): session closed for user qpidd
Jul 22 23:36:47 west231 runuser: pam_unix(runuser:session): session opened for user qpidd by (uid=0)
Jul 22 23:36:50 west231 runuser: pam_unix(runuser:session): session closed for user qpidd
Jul 22 23:36:50 west231 runuser: pam_unix(runuser-l:session): session opened for user qpidd by (uid=0)
Jul 22 23:36:51 west231 runuser: pam_unix(runuser-l:session): session closed for user qpidd

论坛徽章:
0
2 [报告]
发表于 2014-07-25 15:07 |只看该作者
正常情况下,系统里应该只有root的uid是0,但是你的系统里cool qpidd postgres这3个用户的uid也是0,如果这3个不是你们自己加的,那么就是别人(黑客)加的,你说被黑过然后改了个复杂密码,我猜你只改了root用户的密码,这样的话实际上黑客手里还有至少3个root权限的账户(cool qpidd postgres),所以你改密码白改了。
另外root成功登陆的ip来源有广州、福州、日本,我猜你不会闲的从3个地方登录,所以基本上还是黑客在上你机器。
还有改ssh端口意义不大,黑客很快能重新扫出来。
建议你直接修改/etc/passwd和/etc/shadow文件,删除不是你建的uid=0的账户,然后root用户改名成别的(复制root那行,把root这个四个字母改成别的比如good),禁用root用户本身(注释原来root那行),禁用其它没用的普通用户,添加防火墙限制ssh来源ip地址(只让你公司和家里的ip能登陆这个服务器的ssh)。。。
然后修改新root权限用户good的密码: passwd good
以后你就用good账户登陆,root就谁都登陆不了了,自然黑客也没法破解了

论坛徽章:
0
3 [报告]
发表于 2014-07-26 09:47 |只看该作者
本帖最后由 oaHgniD 于 2014-07-26 09:49 编辑
gouxiongmao 发表于 2014-07-25 15:07
正常情况下,系统里应该只有root的uid是0,但是你的系统里cool qpidd postgres这3个用户的uid也是0,如果这 ...

非常感谢,我发现etc目录下除了/etc/passwd和/etc/shadow还有/etc/passwd-和/etc/shadow-,估计是黑客的备份文件。
现在/etc/passwd里面的内容如下,不知道哪些是可以删除的,/etc/shadow打开看起来就是一些空格,该怎么处理?
服务器后台是WDCP系统
root: x:0:0:root:/root:/bin/bash
bin: x:1:1:bin:/bin:/sbin/nologin
daemon: x:2:2:daemon:/sbin:/sbin/nologin
adm: x:3:4:adm:/var/adm:/sbin/nologin
lp: x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync: x:5:0:sync:/sbin:/bin/sync
shutdown: x:6:0:shutdown:/sbin:/sbin/shutdown
halt: x:7:0:halt:/sbin:/sbin/halt
mail: x:8:12:mail:/var/spool/mail:/sbin/nologin
uucp: x:10:14:uucp:/var/spool/uucp:/sbin/nologin
operator: x:11:0: operator:/root:/sbin/nologin
games: x:12:100:games:/usr/games:/sbin/nologin
gopher: x:13:30:gopher:/var/gopher:/sbin/nologin
ftp: x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody: x:99:99:Nobody:/:/sbin/nologin
dbus: x:81:81:System message bus:/:/sbin/nologin
vcsa: x:69:69:virtual console memory owner:/dev:/sbin/nologin
saslauth: x:499:76:"Saslauthd user":/var/empty/saslauth:/sbin/nologin
qpidd: x:498:499:Owner of Qpidd Daemons:/var/lib/qpidd:/sbin/nologin
postfix: x:89:89::/var/spool/postfix:/sbin/nologin
avahi: x:70:70:Avahi mDNS/DNS-SD Stack:/var/run/avahi-daemon:/sbin/nologin
sshd: x:74:74: Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
ntp: x:38:38::/etc/ntp:/sbin/nologin
mysql: x:500:500::/dev/null:/sbin/nologin
www: x:1000:1000::/dev/null:/sbin/nologin
wdcpu: x:999:999::/www/wdlinux/wdcp:/sbin/nologin
cool: x:1001:0::/home/cool:/bin/bash
postgres: x:26:26: PostgreSQL Server:/var/lib/pgsql:/bin/bash
        

论坛徽章:
0
4 [报告]
发表于 2014-07-26 09:57 |只看该作者
cool: x:1001:0::/home/cool:/bin/bash
很可疑。。。
其他看不出什么问题。

论坛徽章:
9
寅虎
日期:2014-06-03 14:10:05午马
日期:2015-01-08 16:49:52白羊座
日期:2015-01-16 12:58:182015年迎新春徽章
日期:2015-03-04 09:57:092015元宵节徽章
日期:2015-03-06 15:51:33NBA常规赛纪念章
日期:2015-05-04 22:32:03IT运维版块每日发帖之星
日期:2015-08-04 06:20:0015-16赛季CBA联赛之北京
日期:2015-12-14 09:40:0315-16赛季CBA联赛之青岛
日期:2016-07-25 11:23:07
5 [报告]
发表于 2014-07-26 16:38 |只看该作者
提示: 作者被禁止或删除 内容自动屏蔽

论坛徽章:
224
2022北京冬奥会纪念版徽章
日期:2015-08-10 16:30:32操作系统版块每日发帖之星
日期:2016-02-18 06:20:00操作系统版块每日发帖之星
日期:2016-03-01 06:20:00操作系统版块每日发帖之星
日期:2016-03-02 06:20:0015-16赛季CBA联赛之上海
日期:2019-09-20 12:29:3219周年集字徽章-周
日期:2019-10-01 20:47:4815-16赛季CBA联赛之八一
日期:2020-10-23 18:30:5320周年集字徽章-20	
日期:2020-10-28 14:14:2615-16赛季CBA联赛之广夏
日期:2023-02-25 16:26:26CU十四周年纪念徽章
日期:2023-04-13 12:23:1015-16赛季CBA联赛之四川
日期:2023-07-25 16:53:45操作系统版块每日发帖之星
日期:2016-05-10 19:22:58
6 [报告]
发表于 2014-07-26 22:15 |只看该作者
只有 root用户才是0,
id为零,权限太大了

论坛徽章:
33
荣誉会员
日期:2011-11-23 16:44:17天秤座
日期:2014-08-26 16:18:20天秤座
日期:2014-08-29 10:12:18丑牛
日期:2014-08-29 16:06:45丑牛
日期:2014-09-03 10:28:58射手座
日期:2014-09-03 16:01:17寅虎
日期:2014-09-11 14:24:21天蝎座
日期:2014-09-17 08:33:55IT运维版块每日发帖之星
日期:2016-04-17 06:23:27操作系统版块每日发帖之星
日期:2016-04-18 06:20:00IT运维版块每日发帖之星
日期:2016-04-24 06:20:0015-16赛季CBA联赛之天津
日期:2016-05-06 12:46:59
7 [报告]
发表于 2014-07-28 07:46 |只看该作者
回复 2# gouxiongmao

不知道这位兄弟从哪里看出了 qpid这个用户的 uid=0 了?

那条log是 runner产生的, 意思是 uid=0的用户使用了 qpid这个用户运行代码. qpid 是系统的 messagebus 进程.

而且, 从后面的 passwd 也没看到任何一个用户(除root)的uid为0.


顺便跟楼主说一下 , /etc/passwd- /etc/shadow- 这两个文件是系统自动产生的, 每次对 用户 做修改, 都会有一个 备份, 就是这个 带 "-" 的文件.

黑客白客, 都不会笨到用这么明显的名字来备份你的passwd, 他会带到自己的硬盘上去备份, 那里会更有意义.
   

论坛徽章:
0
8 [报告]
发表于 2014-08-01 12:42 |只看该作者
q1208c 发表于 2014-07-28 07:46
回复 2# gouxiongmao

不知道这位兄弟从哪里看出了 qpid这个用户的 uid=0 了?


多谢指教,同时谢谢楼上诸位

论坛徽章:
0
9 [报告]
发表于 2014-08-01 14:19 |只看该作者
7楼正解!呵呵,该死的8个字限制。

论坛徽章:
0
10 [报告]
发表于 2014-08-07 16:42 |只看该作者
回复 7# q1208c


    uid=0这个是我搞错了。。。
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP