Очень подозрительные записи встретились в логе на веб-сервере..

Ну, лог не от самого веб-сервера, а /var/log/secure, в который sshd пишет про все попытки подключения. И вот там постоянно виднеются подключения прямо с этого же хоста:

Jan  9 14:20:06 web2 sshd[24506]: Set /proc/self/oom_score_adj to 0
Jan  9 14:20:06 web2 sshd[24506]: Connection from 127.0.0.1 port 55687
Jan  9 14:20:06 web2 sshd[24507]: Connection closed by 127.0.0.1
Jan  9 14:25:06 web2 sshd[24557]: Set /proc/self/oom_score_adj to 0
Jan  9 14:25:06 web2 sshd[24557]: Connection from 127.0.0.1 port 55692
Jan  9 14:25:06 web2 sshd[24558]: Connection closed by 127.0.0.1
Jan  9 14:30:06 web2 sshd[24685]: Set /proc/self/oom_score_adj to 0
Jan  9 14:30:06 web2 sshd[24685]: Connection from 127.0.0.1 port 55696
Jan  9 14:30:06 web2 sshd[24686]: Connection closed by 127.0.0.1

Я испугался, подумал, что кто-то хакнул веб-сервер, и теперь через него что-то запускает, пытаясь подобрать пароль от ssh, чтобы хакать дальше.

Но, покопавшись, удалось выяснить, что это были не хакеры. Вышла очередная задачка для сисадминов..
Ну и как вы думаете, что это было?!

Ответ потом напишу, если никто не догадается..
Подсказка, которую удалось получить, хронически запустив netstat:

#while :; do netstat -ntp | grep 127.0.0.1:22 ; done
tcp        0      0 127.0.0.1:55723             127.0.0.1:22                ESTABLISHED 22366/check_ssh     
tcp        0      0 127.0.0.1:22                127.0.0.1:55723             ESTABLISHED 22370/sshd

You can read this post at LiveJournal.
This entry was posted in Uncategorized and tagged , , , , , . Bookmark the permalink.

One Response to Очень подозрительные записи встретились в логе на веб-сервере..

  1. Pingback: where to buy amoxicillin

Leave a Reply