Ubuntuボックスがあり、/var/run/systemd/sessionsでこの「2」ファイルを見つけました。最初の考えは、私が知っている限り、このIPアドレスを認識せず、このファイルを明示的に構成していないためにハッキングされたことです。
57.36.154.104.bc.googleusercontent.com
root 以外のユーザーは rsmit です。
この「2」ファイルの目的を知っていますか?
root@willow1:/var/run/systemd/sessions# uname -a
Linux willow1 3.13.0-71-generic #114-Ubuntu SMP Tue Dec 1 02:34:22 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux
root@willow1:/var/run/systemd/sessions# ls -altr
total 4
drwxr-xr-x 5 root root 100 Feb 25 17:04 ..
prw------- 1 root root 0 Feb 27 19:42 2.ref
-rw-r--r-- 1 root root 277 Feb 27 19:42 2
drwxr-xr-x 2 root root 80 Feb 27 19:42 .
root@willow1:/var/run/systemd/sessions# cat 2
# This is private data. Do not parse.
UID=1000
USER=rsmit
ACTIVE=1
STATE=active
REMOTE=1
KILL_PROCESSES=0
TYPE=tty
CLASS=user
CGROUP=/user/1000.user/2.session
FIFO=/run/systemd/sessions/2.ref
REMOTE_HOST=57.36.154.104.bc.googleusercontent.com
SERVICE=sshd
LEADER=2107
AUDIT=2
root@willow1:/var/run/systemd/sessions#
ベストアンサー1
loginctl show-session 2すべてのアクティブセッションを一覧表示してこの情報にアクセスすることもできますloginctl list-sessions。
この記録の意味は、57.36.154.104.bc.googleusercontent.comユーザーのアクティブなSSH接続があることですrsmit。
したがって、そのドメインの誰かがログインする必要があることを知らない限り、次のものを探すことをお勧めrsmitします。即時かつ適切な事故対応。
(ネットワーク上のマシンの切断、ログの確認、実行中のプロセスの確認など)