Shell 历史中的可疑命令

Question

我在运行 CentOS（启用 SELinux）的远程虚拟服务器上以 root 身份工作。其他人不应该知道我的登录凭据。但是，我注意到我的 shell 历史记录中有以下命令序列：

mount
top
mount
less /etc/cron.daily/logrotate
/usr/sbin/logrotate /etc/logrotate.conf
ll /usr/bin/fail2ban-client 
less /var/log/messages
crontab -e
ip a
less /var/log/messages-20141228
less /var/log/messages-20150105
less /proc/sys/kernel/softlockup_panic 
cd /proc/sys/kernel/
grep softlockup *
ll
grep time *
grep 10 *
grep intel_idle.max_cstate *
grep max_cstate *
cd ..
ll
vim /etc/sysctl.conf 
vim /etc/sysctl.d/99-sysctl.conf 
less /etc/sysconfig/grub 
cat /proc/cmdline

这是由某种 cron 进程或类似原因引起的吗？还是我应该担心一些入侵者？

Answer 1

我会担心的。您的 shell 历史记录仅包含从交互式命令 shell 运行的命令。

所以这似乎是其他人登录的证据。

但是我假设的访客当时在那里做什么？

嗯，他正在做的大部分事情都是看事情。看起来像是管理员在检查问题的证据。

检查“/etc/sysctl”文件是否真的被编辑过。

令人担忧的是，你有一个不速之客。但有可能是服务提供商的管理员。可以想象，他们通过与您使用的帐户不同的帐户合法地拥有对虚拟机的 root 访问权限。

也有可能你正在与某人/某事更复杂......这是一个虚假的线索，旨在让你远离他/她/它真正在做什么的气味。

我会询问服务提供商（管理虚拟化的人员等）他们的管理员是否可以进入您的虚拟机，以及是否是他们。毕竟，您没有任何证据（在这段历史中）有人改变事物或希望访问虚拟机上的私人信息。