我刚刚通过auth.log文件,我发现以下错误。 任何人都可以告诉我这是一个黑客攻击或仅仅是我安装并通过错误的Bugzilla日志。
Mar 12 06:50:10 bigbugz02 su[13762]: Successful su for www-data by root Mar 12 06:50:10 bigbugz02 su[13762]: + ??? root:www-data Mar 12 06:50:10 bigbugz02 su[13762]: pam_unix(su:session): session opened for user www-data by (uid=0) Mar 12 06:50:12 bigbugz02 su[13762]: pam_unix(su:session): session closed for user www-data 这是安全Debian指南中的一个常见问题。 以下是有关该主题的更多信息:
请参阅第11.2.3节
一般来说,这可能是一个cron工作。 所以 – 这是安全的。
这通常是一件安全的事情。 当应用程序由root用户启动时,它会以www-data用户的身份启动它。
这意味着一个cron作业已经执行。 取决于你是否设置了cron作业,这可能意味着黑客。
我发现我被黑了:
# crontab -l -u www-data */10 * * * * /var/tmp/iFuEAeuC >/dev/null 2>&1
我把file upload到virustotal,它说这是某种types的病毒…