查看原文
其他

我的服务器被SSH暴力登录了吗?

运维研习社 运维研习社 2022-11-05


上面截图的这块日志,是CentOS7系统,messages中的一段日志,很多人在排查问题的时候,看到messages里面大量的这种类型的日志,都是一脸懵逼,搜索引擎一搜,也没有上面结果,大多说这是正常的日志,不用担心,如果需要关闭,redhat官网有提示如何关闭


还有一些说这是有用户登录系统,当然,redhat在其官网solutions关于这个问题的回答中,也表明,这些消息是正常的,是用户每次登录都可以看到的消息,要禁止这些日志显示在messages中,可以使用rsyslog中的过滤器进行丢弃

看到是用户登录产生的日志,很多人就会说,是不是我的服务器被暴力破解了,这么多登录日志


上面的说法,不能说错,但不全面,所以,整理了这篇文章


这部分日志,记录了大概以下几个信息

  • 为用户创建slice

  • 启动用户会话

  • 启动了用户会话

  • 删除用户会话

  • 删除用户slice

  • 停止用户slice


总体就是这几个部分,但是这几个部分不一定会每次都按照这个顺序出现,后面慢慢来讲,接着往下看


首先来说这个slice,我们都知道,CentOS7上,是用systemd进行资源管理的,而slice是systemd下面的控制组单元


我们从上面的图可以看到,首先就是为用户创建了一个slice文件,这个以".slice"为后缀的单元文件,是用于封装管理一组进程资源占用的控制组的slice单元


这类单元,是通过在cgroup树中创建一个节点实现资源控制的,对slice单元施加的资源限制,将会作用于这个slice单元所包含的全部进程的集合,全部的slice单元按照树形层次结构组成一棵资源控制树,干巴巴的文字,你可能不太好理解,上图看


这个就是系统中的slice


我们这里关心的是用户的slice,所以我们看用户的slice,通常用户的slice,中间那个数值是用户的uid,我这个虚拟机只有root用户,看下root用户的slice


看一下,是不是对于一个用户资源进行了控制,以组管理,以CGroup树型层次结构


这里顺便说下,为什么上面说,日志中这几个部分不一定会同时出现,通常一个用户第一次创建了slice,没有删除之前,后面这个用户再开启会话的时候,不会再创建slice,只会开启会话,所以日志只有开启会话和,开启了会话


root用户第一次登录的时候,创建了slice


下面是后面用户登录的时候,messages记录的日志,启动会话


用户退出的时候,就会删除用户会话


如果想看slice文件的话,可以在/sys/fs/cgroup下面,对应各个资源组下面,看相应的slice的资源限制


接着往下看,什么时候会删除slice,我们先创建个用户,我这里用nginx用户,设置允许远程登录,接着登录,看下messages日志

看下这个slice


接着,退出nginx登录,可以看到,nginx的slice被删除了


通过上面这部分,最起码应该了解了这部分日志的意思了,接着继续


上面说的都是用户登录的时候,产生的这些日志,为什么我在文章开头,说这个说法不全面呢,上面nginx退出的截图中,我故意截取了中间有一个root用户的Started Session的日志信息


这个时候,我是没有操作root用户登录的,这个是虚拟机,也不可能有其他人登录的,所以那这是怎么产生的?


我们还是看一下root用户的slice,session 8是我刚登录的,执行了查看slice命令的,session 5是我通过另外一个终端窗口查看messages日志的,而session 1,并不是我执行的,可以通过pid查看该进程,但是我查看的时候,这个进程已经结束了


不过没关系,我通过root用户的Started Session产生时间分析,应该是定时任务产生的


看规律是每小时执行的,所以查看cron的hourly下面,确实有该定时任务


所以,当你为用户配置了定时任务时,用户执行定时任务时,也会启动会话,产生这类日志


目前没有查到任何资料总结说哪些调用会启动该日志,但有资料说该日志是由systemd的session_start_scope()打印的,能力有限,就没有办法分析了


所以,这部分日志代表用户登录系统不准确,要表示定时任务也不准确,所以可以忽略这部分日志


另外,检查系统日志,确认是否由用户登录系统,还是需要通过btmp、wtmp和secure日志进行确认


last命令可以查看wtmp的信息,lastb可以查看btmp的信息,而secure日志则记录了更详细的用户登录认证过程


如有任何问题,欢迎留言交流,如果觉得有用,请关注、转发、在看三连!!!


扫描二维码关注我们吧



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存