Подозрительные команды в истории Shell

Question

Я работаю как root на удаленном виртуальном сервере, на котором запущен CentOS (SELinux включен). Никто не должен знать мои учетные данные. Однако я заметил следующую последовательность команд в истории моей оболочки:

mount 
top 
mount 
less /etc/cron.daily/logrotate 
/usr/sbin/logrotate /etc/logrotate.conf 
ll /usr/bin/fail2ban-client 
less /var/log/messages 
crontab -e 
ip a 
less /var/log/messages-20141228 
less /var/log/messages-20150105 
less /proc/sys/kernel/softlockup_panic 
cd /proc/sys/kernel/ 
grep softlockup * 
ll 
grep time * 
grep 10 * 
grep intel_idle.max_cstate * 
grep max_cstate * 
cd .. 
ll 
vim /etc/sysctl.conf 
vim /etc/sysctl.d/99-sysctl.conf 
less /etc/sysconfig/grub 
cat /proc/cmdline 

ли это вызвано какой-то хрон-процесса или похож? Или я должен беспокоиться о каком-то злоумышленнике?

Answer 1

Я был бы обеспокоен. История вашей оболочки содержит только команды, запускаемые из командной оболочки.

Так это, кажется, доказательств того, что кто-то еще был зарегистрирован в.

но что был мой предполагается посетитель там делал тогда?

Ну, большая часть того, что он делает, смотрит на вещи. Похоже, администратор проверяет наличие проблем.

Проверьте, действительно ли были отредактированы файлы «/ etc/sysctl».

Относительно того, что у вас есть неожиданный посетитель. Но возможно, что это администратор от поставщика услуг. Вполне возможно, что они законно имеют корневой доступ к виртуальному через другую учетную запись к той, которую вы использовали.

Возможно также, что вы имеете дело с кем-то/более сложным ... и это ложный след, призванный избавить вас от запаха того, что он/она действительно делал.

Я бы спросил у поставщика услуг (тех, кто администрирует виртуализацию и т. Д.), Если их администраторы могут попасть в вашу виртуальную машину и если это они. В конце концов, у вас нет никаких доказательств (в этой истории) о том, что кто-то меняет вещи или ищет доступ к частной информации о виртуальном.