Configuré una nueva máquina virtual Debian e instalé gitlab-ce. Realmente no hay mucho más en la VM... Desde el principio, el siguiente mensaje comenzó a aparecer en auth.log:
Mon 2015-08-24 21:47:36.154862 CEST [s=a93d5b0787f54cb68c24d8c7c55985a4;i=2c1bc8;b=567468ca921c4b52ba291
_TRANSPORT=syslog
_UID=0
_GID=0
_BOOT_ID=567468ca921c4b52ba2911c8b97e5f3a
_MACHINE_ID=b6d23c0be1dbee31de2dd2b1553a4f0c
_HOSTNAME=kraken
SYSLOG_FACILITY=4
PRIORITY=4
SYSLOG_IDENTIFIER=root
_COMM=logger
MESSAGE=ssh/bash[9276]: Logged in without disclosing public key - Intrusion?
_PID=9283
_SOURCE_REALTIME_TIMESTAMP=1440445656154862
Actualmente aparece unos cientos de veces al día.
¿Qué significa exactamente? ¿Deberia estar preocupado?
actualizar:el mensaje parece provenir de sshd
1 23979 23979 23979 ? -1 Ss 0 4:37 /usr/sbin/sshd -D
23979 9274 9274 9274 ? -1 Ss 0 0:00 \_ sshd: root@pts/2
9274 9276 9276 9276 pts/2 9276 Ss+ 0 0:00 \_ -bash
Parece activarse en cada inicio de sesión desde la raíz (al menos también) y luego aparece en los registros entre una y 40 veces aproximadamente.
OpenSSH_6.7p1 Debian-5, OpenSSL 1.0.1k 8 Jan 2015
Respuesta1
La entrada del diario indica que, mediante pid, bash publicó el mensaje de registro utilizando el loggerprograma. Esto indica que algo en sus scripts de inicio está creando este mensaje.