私のサーバーは奇妙な動作を示しています。 auth.logを開き、次のことを見つけました(これは私のIPではありません)。
Sep 16 16:38:23 xxxxxx sshd[750]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=194.59.249.21 user=root
Sep 16 16:38:25 xxxxxx sshd[750]: Failed password for root from 194.59.249.21 port 49252 ssh2
Sep 16 16:38:29 xxxxxx sshd[750]: Accepted password for root from 194.59.249.21 port 49252 ssh2
Sep 16 16:38:29 xxxxxx sshd[750]: pam_unix(sshd:session): session opened for user root by (uid=0)
.....
Sep 16 18:49:49 xxxxxx sshd[750]: pam_unix(sshd:session): session closed for user root
私はこれを次のように読みました。
- 16:38:25 誰かがログインしようとしましたが、パスワードが失敗しました。
- 4秒後に正しいパスワードを入力してサーバーに入ります。 (したがって、最初の試みはタイプミスだったでしょう。)
- 2時間10分後に彼らはやめました。
私の説明は正しいですか?それでは、彼らが何をしたかを示す別のログがありますか?
答え1
あなたの説明は正しいです。
それらが実行したすべてのコマンドを表示するには、ユーザー履歴ファイルを確認する必要があります。
ユーザーが root なので、/root/.bash_history にあります。
他のユーザーの場合は/home/username/.bash_historyです。
特権コマンドを実行している場合は/var/log/secureに存在する可能性がありますが、rootなのでsudoを使用する必要がないため、そうでない可能性があります。