Tham gia Đăng nhập
Điểm:2
Jaquarh avatar Ubuntu

Tôi thấy điều gì đó lạ khi chạy lệnh w và cần trợ giúp để hiểu nó

lá cờ cn
Jaquarh

Vì vậy, tôi đã kiểm tra xung quanh máy chủ sau một thời gian không nhìn vào nó và chạy w chỉ huy:

 01:10:46 lên 11 ngày, 2:53, 2 người dùng, tải trung bình: 0,00, 0,05, 0,05
NGƯỜI DÙNG TTY TỪ ĐĂNG NHẬP @ IDLE JCPU PCPU GÌ
root tty1 - Thứ ba21 2 ngày 0,74 giây 0,60 giây -bash
root pts/0 86.x.xxx.xx 22:18 0,00s 0,28s 0,00s w

Tôi nên là người duy nhất trên máy chủ và không biết điều này là gì tty1 đã hoặc đang làm như vậy tôi đã chạy ps -aef --forest | grep bash và tìm thấy cái này đặc biệt

gốc 617 1 0 Aug01 tty1 00:00:00 /bin/đăng nhập -p --

Khi tôi chạy một giết -9 617 và kiểm tra w nó đã biến mất:

 01:11:18 lên 11 ngày, 2:54, 1 người dùng, tải trung bình: 0,12, 0,07, 0,06
NGƯỜI DÙNG TTY TỪ ĐĂNG NHẬP @ IDLE JCPU PCPU GÌ
gốc pts/0 86.x.xxx.xx 22:18 5,00 giây 0,29 giây 0,00 giây w

Đó là gì? Tôi đã tìm kiếm những gì trên Google /bin/đăng nhập -p -- nhưng chỉ có thông tin về --. Làm thế nào đã có một root đăng nhập?

60
2 + 1
Jaquarh avatar
lá cờ cn
Jaquarh
Ubuntu 20.04 đã cài đặt Docker và Docker Compose, đó là tất cả những gì chạy trên nó @guiverc
0
Hồi đáp
Điểm:1
terdon avatar Ubuntu
lá cờ cn
terdon

Một khả năng đáng lo ngại là ai đó đã đăng nhập với quyền root. Tôi có thể sao chép một cái gì đó rất giống trên máy của mình. Đầu tiên, tôi đã kích hoạt quyền truy cập root ssh bằng cách thêm cái này vào /etc/ssh/sshd_config:

Giấy phépRootĐăng nhập có

Và sau đó khởi động lại sshd dịch vụ:

khởi động lại dịch vụ sudo sshd

Và đăng nhập với quyền root (lưu ý là mình đã kích hoạt tài khoản root trên máy này, bạn đã làm như vậy chưa?):

gốc ssh @ localhost

Bây giờ, khi tôi chạy w, Tôi hiểu rồi:

$ w
 17:06:36 lên 3 phút, 2 người dùng, tải trung bình: 1,98, 0,97, 0,38
NGƯỜI DÙNG TTY ĐĂNG NHẬP@ IDLE JCPU PCPU GÌ
terdon :0 17:04 ?xdm? 29,31 giây 0,01 giây /usr/lib/gdm-x-s
root pts/3 17:06 24.00s 0.00s 0.00s -bash

Ít nhất, bạn không thể loại trừ khả năng kẻ tấn công đã giành được quyền truy cập vào hệ thống của bạn. Giải pháp duy nhất trong trường hợp đó là khôi phục từ bản sao lưu hoặc cài đặt lại từ đầu. Nếu ai đó đã có quyền truy cập root, đơn giản là không có cách nào để chắc chắn rằng họ không làm điều gì xấu.

0 + 7
Jaquarh avatar
lá cờ cn
Jaquarh
Nó có ảnh hưởng gì không nếu tôi chỉ có khóa RSA để đăng nhập chứ không phải mật khẩu? Ngoài ra, khi tôi đăng nhập qua ssh, tôi thấy `pts/` cũng vậy. Nhưng tôi thấy `-` thay vào đó
0
Hồi đáp
terdon avatar
lá cờ cn
terdon
@Jaquarh Tôi thực sự không biết. Tôi không phải là một chuyên gia về bảo mật cả. Tất cả những gì tôi có thể nói với bạn là bằng cách thực hiện những gì tôi đã mô tả ở trên khi đăng nhập bằng quyền root, tôi đã thấy một điều rất giống.
0
Hồi đáp
Jaquarh avatar
lá cờ cn
Jaquarh
Vì vậy, tôi đã không nhìn thấy nó kể từ khi tôi giết nó và gần đây tôi tự hỏi liệu có phải `KVM` của tôi chưa bao giờ thực sự giết kết nối của nó không - tôi có thể thử tạo lại bằng KVM của mình
0
Hồi đáp
terdon avatar
lá cờ cn
terdon
@Jaquarh vâng, vui lòng không coi câu trả lời của tôi là bất kỳ loại bằng chứng có thẩm quyền nào cho thấy máy của bạn đã bị xâm phạm. Tất cả những gì tôi có thể nói là nó _có thể_ là _một_ lời giải thích. Tôi không có kiến ​​thức để nói chắc chắn, và bạn biết máy đang làm gì.
0
Hồi đáp
Jaquarh avatar
lá cờ cn
Jaquarh
vâng vâng! Đây thực sự là nguyên nhân, tôi đã đăng nhập qua bảng điều khiển OVH của mình và sử dụng KVM -- sau khi đăng nhập, tôi thấy `root tty1 - 15:47 42.00s 0.20s 0.07s -bash` Bây giờ tôi đóng trình duyệt và trình duyệt vẫn hoạt động - Tôi đoán KVM không bao giờ đóng kết nối đăng nhập vì một số lý do trong các máy chủ được lưu trữ trên OVH. Bài đăng của bạn đã giúp tôi thấy điều này cảm ơn!
0
Hồi đáp
terdon avatar
lá cờ cn
terdon
à, tin tuyệt vời! Bạn có thể vui lòng đăng câu trả lời đó dưới dạng câu trả lời và chấp nhận nó để người tiếp theo gặp sự cố tương tự có thể xem không?
0
Hồi đáp
Jaquarh avatar
lá cờ cn
Jaquarh
Chắc chắn rồi, nhưng tôi sẽ tiếp tục ủng hộ bạn vì lời giải thích của bạn đã giúp tôi thấy được điều đó! Cảm ơn Terdon!
0
Hồi đáp
Điểm:0
Jaquarh avatar Ubuntu
lá cờ cn
Jaquarh

Sau khi suy nghĩ về câu trả lời của @Terdon và đối với những người xem trong tương lai, tôi đã tìm thấy TTY là màn hình nó được gắn vào khi ở trong PTS/<số> và trong trường hợp của tôi, tôi đang sử dụng trình duyệt KVM của nhà cung cấp, đó là tty1 (không có màn hình, vẫn hoạt động) và sự cố là tắt trình duyệt không tắt kết nối KVM bên trong máy chủ.

Nếu chạy xem w và đăng nhập lại vào máy chủ gốc thông qua KVM của tôi (truy cập nội bộ không yêu cầu khóa RSA) tôi đã thấy:

 15:51:54 lên 12 ngày, 17:34, 2 người dùng, tải trung bình: 0,04, 0,05, 0,08
NGƯỜI DÙNG TTY TỪ ĐĂNG NHẬP @ IDLE JCPU PCPU GÌ
gốc tty1 - 15:47 4:33 0,20 giây 0,07 giây -bash
root pts/0 xxxxxxxxxx 15:38 4:49 0,26s 0,00s xem w

Chơi lô tô. Nếu không TỪ địa chỉ được nêu (-), đó là thông tin đăng nhập vật lý từ máy chủ.

Để giết nó tôi đã làm:

$ ps -aef --forest | grep tty1

root 2355734 1 0 Aug13 tty1 00:00:00 /bin/đăng nhập -p --
gốc 2687566 2355734 0 15:47 tty1 00:00:00 \_ -bash
root 2688963 2686083 0 15:54 pts/0 00:00:00 \_ grep --color=auto tty1

$ giết -9 2355734
$ w

 15:55:00 lên 12 ngày, 17:37, 1 người dùng, tải trung bình: 0,03, 0,03, 0,06
NGƯỜI DÙNG TTY TỪ ĐĂNG NHẬP @ IDLE JCPU PCPU GÌ
root pts/0 xxxxxxxxx 15:38 4,00s 0,08s 0,01s w
0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.