Seus comentários revelam arquivos e estruturas de diretórios que são comumente vistos com rootkits. Portanto, é uma probabilidade muito alta que seu servidor tenha sido comprometido e assumido. Você deve começar a remediação o quanto antes.
Eu tenho um servidor Ubuntu e quero entender se alguém entrar nele (hacker). Eu vi no auth.log muitas linhas como esta:
May 30 10:36:00 xxx-System-Product_Name CRON[2758]: pam_unix(cron:session): session opened for user admin by (uid=0)
May 30 10:36:00 xxx-System-Product_Name CRON[2758]: pam_unix(cron:session): session closed for user admin
May 30 10:37:00 xxx-System-Product_Name CRON[2759]: pam_unix(cron:session): session opened for user admin by (uid=0)
May 30 10:37:00 xxx-System-Product_Name CRON[2759]: pam_unix(cron:session): session closed for user admin
Meu usuário é 'alessandro' e não admin alguém é inserido com o usuário 'admin'?
Alguém pode me ajudar?
Seus comentários revelam arquivos e estruturas de diretórios que são comumente vistos com rootkits. Portanto, é uma probabilidade muito alta que seu servidor tenha sido comprometido e assumido. Você deve começar a remediação o quanto antes.