ดังนั้นฉันจึงตรวจสอบรอบๆ เซิร์ฟเวอร์หลังจากไม่ได้ดูมาระยะหนึ่งและเรียกใช้ ว สั่งการ:
01:10:46 อัพ 11 วัน, 2:53, 2 ผู้ใช้, โหลดเฉลี่ย: 0.00, 0.05, 0.05
ผู้ใช้ TTY จากการเข้าสู่ระบบ @ IDLE JCPU PCPU คืออะไร
รูท tty1 - อังคาร 21 2 วัน 0.74 วินาที 0.60 วินาที - ทุบตี
รูท pts/0 86.x.xxx.xx 22:18 0.00s 0.28s 0.00s w
ฉันควรจะเป็นคนเดียวบนเซิร์ฟเวอร์ และไม่รู้ว่าสิ่งนี้คืออะไร tty1 เป็นหรือกำลังทำดังนั้นฉันจึงวิ่ง ps -aef --ป่า | grep ทุบตี และพบสิ่งนี้โดยเฉพาะ
รูท 617 1 0 ส.ค. 44 tty1 00:00:00 /bin/login -p --
เมื่อฉันวิ่งก ฆ่า -9 617 และตรวจสอบ ว มันหายไป:
01:11:18 อัพ 11 วัน, 2:54, 1 ผู้ใช้, โหลดเฉลี่ย: 0.12, 0.07, 0.06
ผู้ใช้ TTY จากการเข้าสู่ระบบ @ IDLE JCPU PCPU คืออะไร
รูท pts/0 86.x.xxx.xx 22:18 5.00s 0.29s 0.00s w
นั่นคืออะไร? ฉัน Googled อะไร /bin/login -p -- ได้แต่ได้รับข้อมูลเกี่ยวกับ --. มีการรูทเข้าสู่ระบบได้อย่างไร?
ความเป็นไปได้อย่างหนึ่งที่น่ากังวลคือมีคนเข้าสู่ระบบในฐานะรูท ฉันสามารถทำซ้ำสิ่งที่คล้ายกันมากในเครื่องของฉัน ก่อนอื่น ฉันเปิดใช้งานการเข้าถึงรูท ssh โดยเพิ่มสิ่งนี้เข้าไป /etc/ssh/sshd_config:
PermitRootLogin ใช่
แล้วรีสตาร์ท sshd บริการ:
sudo service sshd รีสตาร์ท
และเข้าสู่ระบบในฐานะรูท (โปรดทราบว่าฉันได้เปิดใช้งานบัญชีรูทในเครื่องนี้ คุณได้ทำเช่นเดียวกันหรือไม่):
ssh root@localhost
ตอนนี้เมื่อฉันวิ่ง ว, เข้าใจแล้ว:
$ ว
17:06:36 อัพ 3 นาที ผู้ใช้ 2 คน โหลดเฉลี่ย: 1.98, 0.97, 0.38
ผู้ใช้ TTY เข้าสู่ระบบ @ IDLE JCPU PCPU คืออะไร
เทอร์ดอน :0 17:04 ?xdm? 29.31 วินาที 0.01 วินาที /usr/lib/gdm-x-s
รูท pts/3 17:06 24.00s 0.00s 0.00s -bash
อย่างน้อยที่สุด คุณไม่สามารถแยกแยะความเป็นไปได้ที่ผู้โจมตีสามารถเข้าถึงระบบของคุณได้ ทางออกเดียวในกรณีนี้คือการกู้คืนจากข้อมูลสำรองหรือติดตั้งใหม่ตั้งแต่ต้น หากมีคนเข้าถึงรูทได้ ก็ไม่มีทางแน่ใจได้เลยว่าพวกเขาไม่ได้ทำสิ่งเลวร้ายอย่างอื่น
หลังจากคิดถึงคำตอบของ @Terdon และสำหรับผู้ชมในอนาคต ฉันพบ ทีทีวาย เป็นหน้าจอที่ติดไว้เมื่อเข้า PTS/<หมายเลข> และในกรณีของฉัน ฉันใช้เบราว์เซอร์ของผู้ให้บริการ KVM ซึ่งก็คือ tty1 (ไม่มีหน้าจอ มีชีวิต) และปัญหาคือการฆ่าเบราว์เซอร์ไม่ได้หยุดการเชื่อมต่อ KVM ภายในเซิร์ฟเวอร์
ถ้าวิ่ง ดู ว และกลับเข้าสู่รูทเซิร์ฟเวอร์ผ่าน KVM ของฉัน (การเข้าถึงภายในไม่ต้องใช้คีย์ RSA) ฉันเห็น:
15:51:54 อัพ 12 วัน 17:34 ผู้ใช้ 2 คน โหลดเฉลี่ย: 0.04, 0.05, 0.08
ผู้ใช้ TTY จากการเข้าสู่ระบบ @ IDLE JCPU PCPU คืออะไร
รูท tty1 - 15:47 4:33 0.20s 0.07s -bash
รูท pts/0 xxxxxxxxxx 15:38 4:49 0.26 วินาที 0.00 วินาที ชม
บิงโก ถ้าไม่ จาก มีการระบุที่อยู่ (-) เป็นการเข้าสู่ระบบทางกายภาพจากเซิร์ฟเวอร์
เพื่อฆ่ามันฉันทำ:
$ ps -aef --ป่า | เกรป tty1
รูท 2355734 1 0 ส.ค. 56 tty1 00:00:00 /bin/login -p --
รูท 2687566 2355734 0 15:47 tty1 00:00:00 \_ -bash
ราก 2688963 2686083 0 15:54 pts/0 00:00:00 \_ grep --color=auto tty1
$ ฆ่า -9 2355734
$ ว
15:55:00 อัพ 12 วัน, 17:37, 1 ผู้ใช้, โหลดเฉลี่ย: 0.03, 0.03, 0.06
ผู้ใช้ TTY จากการเข้าสู่ระบบ @ IDLE JCPU PCPU คืออะไร
รูท pts/0 xxxxxxxxx 15:38 4.00s 0.08s 0.01s w
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
