Apache na lista Last Logins

Question

Apache na lista Last Logins

#1 resposta do (1 votos)

1

Eu configurei o usuário do apache para ter / sbin / nologin como seu shell, mas ele ainda aparece várias vezes na lista dos últimos logins ( last command) - provavelmente por alguém que eu certamente não queria fazer assim.

O que estou perdendo aqui, o que mais pode acionar uma entrada na última lista de logins? Obviamente, ele conseguiu entrar sem shell?!

Aqui estão algumas das entradas, caso isso ajude.

root     pts/0        xx     Sat Feb 20 13:36   still logged in   
apache   pts/0        xx     Fri Feb 19 01:20 - 01:20  (00:00)    
apache   pts/0        xx     Mon Feb 15 08:57 - 08:57  (00:00)    
apache   pts/0        xx     Wed Feb 10 22:23 - 22:23   (00:00)    
root     pts/0        xx     Sun Feb  7 17:27 - 03:40  (10:13)    
apache   pts/0        xx     Sat Feb  6 16:53 - 16:53  (00:00)    
root     pts/0        xx     Tue Feb  2 18:39 - 18:53  (00:13)    
root     pts/0        xx     Tue Feb  2 18:24 - 18:36  (00:12)    
apache   pts/0        xx     Mon Feb  1 22:48 - 22:48  (00:00)    
apache   pts/0        xx     Mon Feb  1 22:47 - 22:47  (00:00)    
apache   pts/0        xx     Mon Feb  1 22:47 - 22:47  (00:00)    
apache   pts/0        xx     Mon Feb  1 03:09 - 03:09  (00:00)

Também notei que alguém tentou várias outras contas (httpd, apache2, httpd2, httpdocs, etc ...), que (é claro) todas falharam. A lista de logins com falha não é longa o suficiente para uma força bruta, então estou pensando em como ele conseguiu entrar no final ...

Obrigado por quaisquer sugestões antecipadamente

login linux

por Yorrd 20.02.2016 / 14:17

1 resposta

Tags login linux

executando a instância do servidor do Windows da AWS com espaços de trabalho do Amazon Bind9 warning em Debian

score 1 · Answer 1

Esta resposta também se destina a outras pessoas que podem encontrar este tópico procurando algumas dicas, especialmente se a auditoria e as notificações não tiverem sido configuradas.

Você restringiu o login do usuário?

grep apache /etc/passwd

Verifique se há /bin/false ou /usr/sbin/nologin ou /sbin/nologin no final da entrada do usuário.

Histórico de tentativas de login malsucedidas

lastb apache

Isso mostrará o número de tentativas malsucedidas de login pelo usuário do apache. (A saída de lastb mostra as entradas de log de /var/log/btmp , enquanto last mostra as entradas de /var/log/wtmp )

Frequência e horários de login

Verifique a saída de last . O usuário faz o login em horários aleatórios? Ou isso acontece em um horário específico todos os dias?

Logins e IPs com falha

grep 'apache' /var/log/auth.log

Como você disse que houve tentativas de login com falha, /var/log/auth.log deve ter os endereços IP dos quais essas tentativas de login ocorreram (via SSH). Procure especialmente as últimas tentativas malsucedidas feitas antes da primeira tentativa de login bem-sucedida. O último pode ser encontrado verificando a saída de last em relação a lastb . Você também pode comparar entradas de log em /var/log/btmp com aquelas em /var/log/wtmp .