各位大佬， Linux 帐号使用/sbin/nologin 还被人 ssh 连接成功，主机是被入侵了吗？

有一台 CentOS 6 主机，有配置一个 production 的帐号，默认登入 shell 是 /sbin/nologin 此帐号通过 ftp 上传下载档案
production:x:508:508::/home/production:/sbin/nologin

今日警察通知有人通过此主机盗刷信用卡，还提供了远程连接 IP，检查 /var/log/secure 日志，发现有人远程登入此帐号几次（同一分钟内）只有两行日志，重复了几次
Accepted password for production from yyy.yyy.yyy.yyy port 41399 ssh2
pam_unix(sshd:session): session opened for user production by (uid=0)

我测试 ssh production@ip 输入密码，/var/log/secure 日志提示如下，看起来不能 ssh 连接成功(下面多了两行信息）
Accepted password for production from xxx.xxx.xxx.xxx port 58670 ssh2
pam_unix(sshd:session): session opened for user production by (uid=0)
Received disconnect from xxx.xxx.xxx.xxx: 11: disconnected by user
pam_unix(sshd:session): session closed for user production

目前已经修改了 production 帐号密码
各位大佬，这种情况有什么检测主机是否被入侵的方法吗？越详细越好，谢谢！

coolwind

2017-10-05 19:04:49 +08:00

@flynaj 看起来是这样，没用 shell
@Beebird 确实是这样，通过您提供的 ssh 转发，日志里只有两条（沒有用到 login shell)，虽然點擊 https://localhost:9443 跳轉到了 amazon 网站
Accepted password for production from yyy.yyy.yyy.yyy port 41399 ssh2
pam_unix(sshd:session): session opened for user production by (uid=0)

lekai63

2017-10-05 21:36:11 +08:00

问下 vps 已禁用密码登陆也禁了 root 登陆
日常使用只通过普通账户私玥登陆，权限通过 sudo 执行
如此这般是否可规避楼上被 ssh 端口映射的风险（不考虑私玥泄露、服务器应用程序漏洞及 0day 等情况）

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/395530

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.