ajuda a entender / var / run / systemd / sessions / 2 file / ou hackeado?

Navegue suas respostas
2

Eu tenho uma caixa Ubuntu e encontrei este arquivo "2" em / var / run / systemd / sessions. O primeiro pensamento foi que eu fui hackeado porque não reconheço esse endereço IP e não configurei explicitamente esse arquivo, tanto quanto sei.

57.36.154.104.bc.googleusercontent.com

Note que o meu usuário não root é o rsmit.

Alguma ideia de para que serve este arquivo "2"? 

root@willow1:/var/run/systemd/sessions# uname -a
Linux willow1 3.13.0-71-generic #114-Ubuntu SMP Tue Dec 1 02:34:22 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux

root@willow1:/var/run/systemd/sessions# ls -altr
total 4
drwxr-xr-x 5 root root 100 Feb 25 17:04 ..
prw------- 1 root root   0 Feb 27 19:42 2.ref
-rw-r--r-- 1 root root 277 Feb 27 19:42 2
drwxr-xr-x 2 root root  80 Feb 27 19:42 .

root@willow1:/var/run/systemd/sessions# cat 2
# This is private data. Do not parse.
UID=1000
USER=rsmit
ACTIVE=1
STATE=active
REMOTE=1
KILL_PROCESSES=0
TYPE=tty
CLASS=user
CGROUP=/user/1000.user/2.session
FIFO=/run/systemd/sessions/2.ref
REMOTE_HOST=57.36.154.104.bc.googleusercontent.com
SERVICE=sshd
LEADER=2107
AUDIT=2
root@willow1:/var/run/systemd/sessions#
    
por user584583 28.02.2016 / 02:30

1 resposta

3

Você também pode acessar essas informações por meio de loginctl show-session 2 e listar todas as sessões ativas por meio de loginctl list-sessions .

O que o registro significa é que há uma conexão SSH ativa proveniente de 57.36.154.104.bc.googleusercontent.com para um usuário rsmit .

Portanto, a menos que você saiba que alguém desse domínio deve estar logado como rsmit , sugiro que procure imediatamente uma resposta apropriada a incidentes .

(Desconecte a máquina da rede, verifique os registros, verifique os processos em execução, etc.)

link

    
por 28.02.2016 / 13:49

Tags

Significado de “route add -host xxx.xxx.xxx.xxx dev eth0: 1” Limite de comprimento de nome de usuário Linux / Unix