今天我发现/var/log/auth.log文件只有最近一周的logging,而且我怀疑我是通过使用不安全的SSH密码被黑客入侵的,攻击者删除了访问日志以避免被检测到。
以下是日志中的第一行:
Jun 26 06:44:58 server CRON[14297]: pam_unix(cron:session): session closed for user root Jun 26 06:47:01 server CRON[14484]: pam_unix(cron:session): session opened for user root by (uid=0) Jun 26 06:47:02 server CRON[14484]: pam_unix(cron:session): session closed for user root Jun 26 07:17:01 server CRON[14515]: pam_unix(cron:session): session opened for user root by (uid=0) Jun 26 07:17:01 server CRON[14515]: pam_unix(cron:session): session closed for user root Jun 26 08:17:01 server CRON[14518]: pam_unix(cron:session): session opened for user root by (uid=0) Jun 26 08:17:01 server CRON[14518]: pam_unix(cron:session): session closed for user root Jun 26 09:17:01 server CRON[14521]: pam_unix(cron:session): session opened for user root by (uid=0) Jun 26 09:17:01 server CRON[14521]: pam_unix(cron:session): session closed for user root Jun 26 10:17:01 server CRON[14524]: pam_unix(cron:session): session opened for user root by (uid=0) Jun 26 10:17:01 server CRON[14524]: pam_unix(cron:session): session closed for user root Jun 26 11:17:01 server CRON[14527]: pam_unix(cron:session): session opened for user root by (uid=0) Jun 26 11:17:01 server CRON[14527]: pam_unix(cron:session): session closed for user root Jun 26 12:17:01 server CRON[14530]: pam_unix(cron:session): session opened for user root by (uid=0) Jun 26 12:17:01 server CRON[14530]: pam_unix(cron:session): session closed for user root Jun 26 13:16:29 server login[1022]: pam_unix(login:auth): check pass; user unknown Jun 26 13:16:29 server login[1022]: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=/dev/tty1 ruser= rhost= Jun 26 13:16:32 server login[1022]: FAILED LOGIN (1) on '/dev/tty1' FOR 'UNKNOWN', Authentication failure Jun 26 13:17:01 server CRON[14533]: pam_unix(cron:session): session opened for user root by (uid=0) Jun 26 13:17:01 server CRON[14533]: pam_unix(cron:session): session closed for user root Jun 26 13:17:09 server login[1022]: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=/dev/tty1 ruser= rhost= user=root Jun 26 13:17:13 server login[1022]: FAILED LOGIN (2) on '/dev/tty1' FOR 'root', Authentication failure Jun 26 13:17:18 server login[1022]: FAILED LOGIN (3) on '/dev/tty1' FOR 'root', Authentication failure Jun 26 13:17:23 server login[1022]: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=/dev/tty1 ruser= rhost= user=vagrant Jun 26 13:17:34 server login[14536]: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=/dev/tty1 ruser= rhost= user=vagrant Jun 26 13:17:36 server login[14536]: FAILED LOGIN (1) on '/dev/tty1' FOR 'vagrant', Authentication failure
这是正常的吗? 这应该完成吗?
你的问题的答案取决于你configuration的日志旋转。 默认情况下,Ubuntuconfiguration为旋转日志文件,因此您应该在/ var / log中看到类似以下的文件
auth.log auth.log.1 auth.log.2.gz auth.log.3.gz auth.log.4.gz
第一个文件(auth.log)是当前日志,auth.log.1是较旧的条目,auth.log.2.gz是使用gz压缩的旧条目。 日志条目的数量越多越好。
你可以通过查看/etc/logrotate.d/rsyslog来检查你的日志轮转设置,在Ubuntu 14.04上它包含了这样一个部分:
/var/log/mail.info ... /var/log/kern.log /var/log/auth.log /var/log/user.log ... /var/log/messages { rotate 4 weekly missingok notifempty compress delaycompress sharedscripts postrotate reload rsyslog >/dev/null 2>&1 || true endscript }
第一行表示应保留4个旧版本,下一个设置为每周更新一次。
如果您的日志轮换是相同的,您可以期望auth.log文件每周轮换(重命名为auth.log.1)。 查看auth.log.1日志,并确保最新的条目遵循auth.log中最旧的条目。 如果是这种情况,你似乎有一个连续的日志,事情是在“正常”的方式(日志按预期旋转)。
关于日志的安全性,日志文件的修改date不应该比该文件中最近的日志条目或其压缩date更新。 如果您看到几周或几个月前的日志在过去几天被修改,这是一个警告信号。
主要是,日志的内容是否有意义? login时间是否与pipe理员或有权访问的其他用户使用的login时间相匹配? 对于rootlogin被禁用的人来说,你的日志会很麻烦 – 但是这个活动对于你的系统来说可能是正常的。
注意:将auth.log中的“连续”日志条目设置为auth.log.1(依此类推)并不意味着您的服务器是安全的。 攻击者可能只会删除与他们的活动相关的条目,而不是删除一个大的部分,使他们的入侵明显。 如果您担心安全问题,则应检查rootkit和其他恶意软件以及exception活动。