“último” comando indica alguém logado para 00:00 - nosso servidor foi comprometido?

2

Notei a seguinte entrada estranha do meu "último comando" de um endereço IP na Romênia:

user pts/0        89.123.111.228   Sat Jul 28 12:48 - 12:48  (00:00)

Eu estou querendo saber se isso significa que eu fui hackeado? Mas diz que eles logado por 0 minutos, isso significa que eles falharam? Não consigo encontrar a resposta nas páginas do manual.

    
por Philip Brocoum 30.07.2012 / 16:33

1 resposta

4

Parece ser um login bem-sucedido com duração de menos de um minuto. O comando last mostra apenas logins bem-sucedidos por padrão.

Você pode confirmar isso examinando os registros do sistema (por exemplo, /var/log/messages e /var/log/audit/audit.log ) e procurando eventos de login e logout.

Recentemente, tive a chance de examinar uma máquina comprometida, e o compromisso seguiu um padrão semelhante. Após o primeiro compromisso bem-sucedido, o atacante pode simplesmente anotar as informações do seu servidor para serem transmitidas posteriormente a outros criminosos. Se o seu sistema permanecer aberto, espere os logins nos próximos dias em todo o mundo.

    
por 30.07.2012 / 17:55

Tags