这个系统日志有问题吗

oaHgniD

如题，下面是/var/log/secure目录下的部分内容
服务器之前密码应该是被暴力破解了，后来我改了一个复杂密码。
请帮我看下这些日志有什么问题没，尤其是 Jul 22 的
还有，除root外，这个cool应该是黑客建立的用户吧？qpidd、postgres又是什么呢？

Jun  3 15:41:38 west231 sshd[32604]: Accepted password for root from 183.1.206.193 port 49798 ssh2
Jun  3 15:41:38 west231 sshd[32604]: pam_unix(sshd:session): session opened for user root by (uid=0)
Jun  3 17:04:04 west231 sshd[505]: Accepted password for root from 183.1.206.193 port 52061 ssh2
Jun  3 17:04:04 west231 sshd[505]: pam_unix(sshd:session): session opened for user root by (uid=0)
Jun  3 17:12:14 west231 sshd[505]: pam_unix(sshd:session): session closed for user root
Jun  3 18:11:52 west231 sshd[32604]: pam_unix(sshd:session): session closed for user root
Jun 12 09:05:45 west231 sshd[23903]: Accepted password for root from 106.186.127.63 port 55354 ssh2
Jun 12 09:05:45 west231 sshd[23903]: pam_unix(sshd:session): session opened for user root by (uid=0)
Jun 12 09:25:05 west231 sshd[23903]: pam_unix(sshd:session): session closed for user root
Jun 12 16:28:46 west231 sshd[24649]: Accepted password for root from 183.1.202.162 port 37069 ssh2
Jun 12 16:28:46 west231 sshd[24649]: pam_unix(sshd:session): session opened for user root by (uid=0)
Jun 12 17:45:20 west231 sshd[24649]: pam_unix(sshd:session): session closed for user root
Jun 13 11:00:41 west231 sshd[29668]: Accepted password for root from 183.1.202.162 port 42377 ssh2
Jun 13 11:00:41 west231 sshd[29668]: pam_unix(sshd:session): session opened for user root by (uid=0)
Jun 13 15:03:52 west231 sshd[29668]: pam_unix(sshd:session): session closed for user root
Jul  1 08:23:51 west231 sshd[17325]: Connection closed by 27.149.159.141
Jul  1 08:24:00 west231 sshd[17327]: Accepted password for cool from 27.149.159.141 port 40718 ssh2
Jul  1 08:24:00 west231 sshd[17327]: pam_unix(sshd:session): session opened for user cool by (uid=0)
Jul  1 10:06:26 west231 sshd[17327]: pam_unix(sshd:session): session closed for user cool
Jul 22 23:36:34 west231 sshd[1015]: Server listening on 0.0.0.0 port 22000.
Jul 22 23:36:34 west231 sshd[1015]: Server listening on :: port 22000.
Jul 22 23:36:36 west231 runuser: pam_unix(runuser-l:session): session opened for user postgres by (uid=0)
Jul 22 23:36:36 west231 runuser: pam_unix(runuser-l:session): session closed for user postgres
Jul 22 23:36:47 west231 runuser: pam_unix(runuser:session): session opened for user qpidd by (uid=0)
Jul 22 23:36:47 west231 runuser: pam_unix(runuser:session): session closed for user qpidd
Jul 22 23:36:47 west231 runuser: pam_unix(runuser:session): session opened for user qpidd by (uid=0)
Jul 22 23:36:50 west231 runuser: pam_unix(runuser:session): session closed for user qpidd
Jul 22 23:36:50 west231 runuser: pam_unix(runuser-l:session): session opened for user qpidd by (uid=0)
Jul 22 23:36:51 west231 runuser: pam_unix(runuser-l:session): session closed for user qpidd

gouxiongmao

正常情况下，系统里应该只有root的uid是0，但是你的系统里cool qpidd postgres这3个用户的uid也是0，如果这3个不是你们自己加的，那么就是别人（黑客）加的，你说被黑过然后改了个复杂密码，我猜你只改了root用户的密码，这样的话实际上黑客手里还有至少3个root权限的账户（cool qpidd postgres），所以你改密码白改了。
另外root成功登陆的ip来源有广州、福州、日本，我猜你不会闲的从3个地方登录，所以基本上还是黑客在上你机器。
还有改ssh端口意义不大，黑客很快能重新扫出来。
建议你直接修改/etc/passwd和/etc/shadow文件，删除不是你建的uid=0的账户，然后root用户改名成别的（复制root那行，把root这个四个字母改成别的比如good），禁用root用户本身（注释原来root那行），禁用其它没用的普通用户，添加防火墙限制ssh来源ip地址（只让你公司和家里的ip能登陆这个服务器的ssh）。。。
然后修改新root权限用户good的密码： passwd good
以后你就用good账户登陆，root就谁都登陆不了了，自然黑客也没法破解了

oaHgniD

gouxiongmao 发表于 2014-07-25 15:07
正常情况下，系统里应该只有root的uid是0，但是你的系统里cool qpidd postgres这3个用户的uid也是0，如果这 ...

非常感谢，我发现etc目录下除了/etc/passwd和/etc/shadow还有/etc/passwd-和/etc/shadow-，估计是黑客的备份文件。
现在/etc/passwd里面的内容如下，不知道哪些是可以删除的，/etc/shadow打开看起来就是一些空格，该怎么处理？
服务器后台是WDCP系统

root: x:0:0:root:/root:/bin/bash
bin: x:1:1:bin:/bin:/sbin/nologin
daemon: x:2:2:daemon:/sbin:/sbin/nologin
adm: x:3:4:adm:/var/adm:/sbin/nologin
lp: x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync: x:5:0:sync:/sbin:/bin/sync
shutdown: x:6:0:shutdown:/sbin:/sbin/shutdown
halt: x:7:0:halt:/sbin:/sbin/halt
mail: x:8:12:mail:/var/spool/mail:/sbin/nologin
uucp: x:10:14:uucp:/var/spool/uucp:/sbin/nologin
operator: x:11:0: operator:/root:/sbin/nologin
games: x:12:100:games:/usr/games:/sbin/nologin
gopher: x:13:30:gopher:/var/gopher:/sbin/nologin
ftp: x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody: x:99:99:Nobody:/:/sbin/nologin
dbus: x:81:81:System message bus:/:/sbin/nologin
vcsa: x:69:69:virtual console memory owner:/dev:/sbin/nologin
saslauth: x:499:76:"Saslauthd user":/var/empty/saslauth:/sbin/nologin
qpidd: x:498:499:Owner of Qpidd Daemons:/var/lib/qpidd:/sbin/nologin
postfix: x:89:89::/var/spool/postfix:/sbin/nologin
avahi: x:70:70:Avahi mDNS/DNS-SD Stack:/var/run/avahi-daemon:/sbin/nologin
sshd: x:74:74: Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
ntp: x:38:38::/etc/ntp:/sbin/nologin
mysql: x:500:500::/dev/null:/sbin/nologin
www: x:1000:1000::/dev/null:/sbin/nologin
wdcpu: x:999:999::/www/wdlinux/wdcp:/sbin/nologin
cool: x:1001:0::/home/cool:/bin/bash
postgres: x:26:26: PostgreSQL Server:/var/lib/pgsql:/bin/bash
        

syshz

cool: x:1001:0::/home/cool:/bin/bash
很可疑。。。
其他看不出什么问题。

action08

只有 root用户才是0，
id为零，权限太大了

q1208c

回复 2# gouxiongmao

不知道这位兄弟从哪里看出了 qpid这个用户的 uid=0 了?

那条log是 runner产生的, 意思是 uid=0的用户使用了 qpid这个用户运行代码. qpid 是系统的 messagebus 进程.

而且, 从后面的 passwd 也没看到任何一个用户(除root)的uid为0.


顺便跟楼主说一下 , /etc/passwd- /etc/shadow- 这两个文件是系统自动产生的, 每次对 用户 做修改, 都会有一个 备份, 就是这个 带 "-" 的文件.

黑客白客, 都不会笨到用这么明显的名字来备份你的passwd, 他会带到自己的硬盘上去备份, 那里会更有意义.
   

oaHgniD

q1208c 发表于 2014-07-28 07:46
回复 2# gouxiongmao

不知道这位兄弟从哪里看出了 qpid这个用户的 uid=0 了?

多谢指教，同时谢谢楼上诸位

gridpc

7楼正解！呵呵，该死的8个字限制。

gouxiongmao

回复 7# q1208c


    uid=0这个是我搞错了。。。