奇怪的日志，难道受攻击了？

zuzhihui

今天查看centos5.1服务器日志，发现/var/log/secure中有几行比较奇怪，

1. groupadd, useradd这两个命令我根本没有运行过，谁创建的sshd用户？操作系统，openssh-server已经安装好了很长时间了，这条日志现在跑出来，我很怀疑

2. 这条日志的时间有问题，比它上面的和下面的日志的时间都早。

所有其他日志里面都没有显示可疑用户登录。
有谁能解释一下这是为什么？谢谢！

1. 
   
2. Apr 25 17:13:55 host1 sshd[5279]: Accepted publickey for root from 124.193.12.133 port 63851 ssh2
   
3. Apr 25 17:13:55 host1 sshd[5279]: pam_unix(sshd:session): session opened for user root by (uid=0)
   
4. Apr 25 09:22:55 host1 groupadd[5739]: new group: name=ssh, GID=107
   
5. Apr 25 09:23:00 host1 useradd[6117]: new user: name=sshd, UID=104, GID=65534, home=/var/run/sshd, shell=/usr/sbin/nologin
   
6. Apr 25 09:23:00 host1 usermod[6118]: change user `sshd' password
   
7. Apr 25 09:23:00 host1 chage[6119]: changed password expiry for sshd
   
8. Apr 25 17:30:03 host1 sshd[5279]: pam_unix(sshd:session): session closed for user root
   
9. Apr 25 17:30:45 host1 sshd[25438]: pam_unix(sshd:session): session closed for user root
   

复制代码

xiaoshao_0_0

check sshd 用户名，密码。

yourfriend

o，等待楼主“案情”的继续发展。

zuzhihui

下面这些信息好像没有什么破绽。

1. 
   
2. [root@host1 ~]# grep ssh /etc/passwd
   
3. sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
   
4. [root@host1 ~]# grep ssh /etc/group
   
5. sshd:x:74:
   
6. [root@host1 ~]# grep ssh /etc/shadow
   
7. sshd:!!:13957:0:99999:7:::
   
8. [root@host1 ~]#
   

复制代码

我猜测是不是yum自动升级什么软件包搞的？

Post by xiaoshao_0_0;1842738
check sshd 用户名，密码。