Shell 历史中的可疑命令
Suspicious Commands in Shell History
我在运行 CentOS(启用 SELinux)的远程虚拟服务器上以 root 身份工作。没有其他人应该知道我的登录凭据。但是,我在 shell 历史记录中注意到以下命令序列:
mount
top
mount
less /etc/cron.daily/logrotate
/usr/sbin/logrotate /etc/logrotate.conf
ll /usr/bin/fail2ban-client
less /var/log/messages
crontab -e
ip a
less /var/log/messages-20141228
less /var/log/messages-20150105
less /proc/sys/kernel/softlockup_panic
cd /proc/sys/kernel/
grep softlockup *
ll
grep time *
grep 10 *
grep intel_idle.max_cstate *
grep max_cstate *
cd ..
ll
vim /etc/sysctl.conf
vim /etc/sysctl.d/99-sysctl.conf
less /etc/sysconfig/grub
cat /proc/cmdline
这是由某种 cron 进程或类似进程引起的吗?或者我应该担心一些入侵者?
我会担心的。您的 shell 历史记录仅包含 运行 来自交互式命令 shell.
的命令
所以这似乎是其他人登录的证据。
but what was my assumed visitor doing there then?
好吧,他所做的大部分事情都是在看东西。看起来像是管理员在检查问题的证据。
检查“/etc/sysctl”文件是否真的被编辑过。
令人担忧的是,你有一个不速之客。但这可能是服务提供商的管理员。可以想象,他们通过与您使用的帐户不同的帐户合法地拥有对虚拟机的根访问权限。
也有可能你正在和更复杂的人/事打交道......这是一个错误的线索,旨在让你忘记他/她/它真正在做什么。
我会询问服务提供商(管理虚拟化等的人员)他们的管理员是否可以进入您的 VM,以及是否就是他们。毕竟,您没有任何证据(在此历史记录中)表明有人在虚拟上更改内容或希望访问私人信息。
我在运行 CentOS(启用 SELinux)的远程虚拟服务器上以 root 身份工作。没有其他人应该知道我的登录凭据。但是,我在 shell 历史记录中注意到以下命令序列:
mount
top
mount
less /etc/cron.daily/logrotate
/usr/sbin/logrotate /etc/logrotate.conf
ll /usr/bin/fail2ban-client
less /var/log/messages
crontab -e
ip a
less /var/log/messages-20141228
less /var/log/messages-20150105
less /proc/sys/kernel/softlockup_panic
cd /proc/sys/kernel/
grep softlockup *
ll
grep time *
grep 10 *
grep intel_idle.max_cstate *
grep max_cstate *
cd ..
ll
vim /etc/sysctl.conf
vim /etc/sysctl.d/99-sysctl.conf
less /etc/sysconfig/grub
cat /proc/cmdline
这是由某种 cron 进程或类似进程引起的吗?或者我应该担心一些入侵者?
我会担心的。您的 shell 历史记录仅包含 运行 来自交互式命令 shell.
的命令所以这似乎是其他人登录的证据。
but what was my assumed visitor doing there then?
好吧,他所做的大部分事情都是在看东西。看起来像是管理员在检查问题的证据。
检查“/etc/sysctl”文件是否真的被编辑过。
令人担忧的是,你有一个不速之客。但这可能是服务提供商的管理员。可以想象,他们通过与您使用的帐户不同的帐户合法地拥有对虚拟机的根访问权限。
也有可能你正在和更复杂的人/事打交道......这是一个错误的线索,旨在让你忘记他/她/它真正在做什么。
我会询问服务提供商(管理虚拟化等的人员)他们的管理员是否可以进入您的 VM,以及是否就是他们。毕竟,您没有任何证据(在此历史记录中)表明有人在虚拟上更改内容或希望访问私人信息。