![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
Ну, лог не от самого веб-сервера, а /var/log/secure, в который sshd пишет про все попытки подключения. И вот там постоянно виднеются подключения прямо с этого же хоста:
Jan 9 14:20:06 web2 sshd[24506]: Set /proc/self/oom_score_adj to 0 Jan 9 14:20:06 web2 sshd[24506]: Connection from 127.0.0.1 port 55687 Jan 9 14:20:06 web2 sshd[24507]: Connection closed by 127.0.0.1 Jan 9 14:25:06 web2 sshd[24557]: Set /proc/self/oom_score_adj to 0 Jan 9 14:25:06 web2 sshd[24557]: Connection from 127.0.0.1 port 55692 Jan 9 14:25:06 web2 sshd[24558]: Connection closed by 127.0.0.1 Jan 9 14:30:06 web2 sshd[24685]: Set /proc/self/oom_score_adj to 0 Jan 9 14:30:06 web2 sshd[24685]: Connection from 127.0.0.1 port 55696 Jan 9 14:30:06 web2 sshd[24686]: Connection closed by 127.0.0.1
Я испугался, подумал, что кто-то хакнул веб-сервер, и теперь через него что-то запускает, пытаясь подобрать пароль от ssh, чтобы хакать дальше.
Но, покопавшись, удалось выяснить, что это были не хакеры. Вышла очередная задачка для сисадминов..
Ну и как вы думаете, что это было?!
Ответ потом напишу, если никто не догадается..
Подсказка, которую удалось получить, хронически запустив netstat:
#while :; do netstat -ntp | grep 127.0.0.1:22 ; done tcp 0 0 127.0.0.1:55723 127.0.0.1:22 ESTABLISHED 22366/check_ssh tcp 0 0 127.0.0.1:22 127.0.0.1:55723 ESTABLISHED 22370/sshd
Оригинал этой записи в личном блоге.
no subject