Кто зашел на мой сервер?
Вчера я побежал w команда. Обычно вывод выглядит так:
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root pts/0 p4...2f50.dip0.t..... 21:01 4.00s 0.05s 0.00s w
Это частный тестовый сервер, который я использую для тестирования некоторых своих проектов. Единственный человек, использующий это, я, поэтому я должен быть единственным, кто вошел в него. Тем не менее, он отображал следующее:
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root pts/0 p4...2f50.dip0.t 21:01 4.00s 0.05s 0.00s w
root ... p4...2f50.S:0 (8 days ago) ... ... ... /bin/bash
Я добавил "...", потому что не могу вспомнить значения и, к сожалению, забыл сделать снимок экрана.
Что важно, так это то, что, кажется, второй человек вошел в систему в течение длительного времени. Я также заметил, что значение в "ОТ" очень похоже. Он начинается с точно такой же последовательности цифр и букв и заканчивается .S:0 или же :S.0 (Я тоже этого не помню).
Теперь я не очень много знаю о значении этих ценностей. Кто-нибудь еще вошел в систему? Или это может быть "прослушиваемая" SSH-сессия, которую я не закрыл правильно?
1 ответ
TTY, заканчивающиеся на :S.0 обычно создаются screen, Скорее всего: никто не вошел в эту оболочку, вы просто забыли об этом, соединение закрыто, оболочка еще жива.
Чтобы отслеживать, как ваш процесс был создан, вы можете посмотреть на ps fauxww | less, тип /ttyname чтобы найти ваше tty-имя, вы должны найти его родительский процесс (вероятно, bash или sshd) и его дочерние процессы:
root 10307 0.2 0.0 107732 4260 ? Ss 03:59 0:00 \_ sshd: root@pts/0
root 10326 1.0 0.0 23240 4372 pts/0 Ss 03:59 0:00 \_ bash
root 10361 0.0 0.0 18600 1408 pts/0 R+ 03:59 0:00 \_ ps fauxww
root 10362 0.0 0.0 9544 928 pts/0 S+ 03:59 0:00 \_ less
или с экраном:
root 10326 0.1 0.0 23240 4416 pts/0 Ss 03:59 0:00 \_ bash
root 12524 0.0 0.0 26920 1116 pts/0 S+ 04:00 0:00 \_ screen
root 12525 0.0 0.0 27052 1396 ? Ss 04:00 0:00 \_ SCREEN
root 12526 0.3 0.0 23280 4464 pts/1 Ss 04:00 0:00 \_ /bin/bash