我正在浏览我的日志上papertail,我看到了这一点。
Jun 03 03:26:01 /USR/SBIN/CRON: (root) CMD (test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )) Jun 03 03:26:04 su: Successful su for www-data by root Jun 03 03:26:04 su: + ??? root:www-data Jun 03 03:26:04 su: pam_unix(su:session): session opened for user www-data by (uid=0) Jun 03 03:26:04 su: pam_unix(su:session): session closed for user www-data Jun 03 03:26:04 su: Successful su for www-data by root Jun 03 03:26:04 su: + ??? root:www-data Jun 03 03:26:04 su: pam_unix(su:session): session opened for user www-data by (uid=0) Jun 03 03:26:04 su: pam_unix(su:session): session closed for user www-data Jun 03 03:26:04 syslog-ng: Configuration reload request received, reloading configuration; Jun 03 03:26:04 syslog-ng: EOF on control channel, closing connection; Jun 03 03:26:05 syslog-ng: Configuration reload request received, reloading configuration; Jun 03 03:26:05 syslog-ng: EOF on control channel, closing connection; Jun 03 03:26:05 CRON: pam_unix(cron:session): session closed for user root Jun 03 03:39:01 CRON: pam_unix(cron:session): session opened for user root by (uid=0) 难道不可能破门而入? 为什么rootlogin为www-data和syslog-ng重载configuration?
编辑。
/etc/cron.daily中的文件
apt aptitude bsdmainutils dpkg lighttpd logrotate man-db passwd
在lighttpd是
#!/bin/sh # Cleanup lighttpd compress cache cache=/var/cache/lighttpd if test -d "$cache/compress"; then su -s /bin/sh -c "find $cache/compress -type f -atime +30 -print0 | xargs -0 -r rm" www-data fi if test -d "$cache/uploads"; then su -s /bin/sh -c "find $cache/uploads -type f -atime +1 -print0 | xargs -0 -r rm" www-data fi
是的,你的VPS总是受到攻击。 但是,不,这不是这个日志条目显示的。
这是合法的活动。 正如你所看到的那样,它是anacron,运行每日的/etc/cron.daily/lighttpd作业。 在(更正后的)lighttpd cron脚本中,您可以看到该脚本正在运行su www-data ,并且日志文件显示root将用户更改为www-data。