Я нашел много строк (~ 900), похожих на эти, в last
вывод одного из моих хостов:
trustpor ftpd31576 www.trustport.co Tue Oct 1 10:03 - 10:03 (00:00)
trustpor ftpd31575 www.trustport.co Tue Oct 1 10:03 - 10:03 (00:00)
trustpor ftpd31574 www.trustport.co Tue Oct 1 10:03 - 10:03 (00:00)
trustpor ftpd31573 www.trustport.co Tue Oct 1 10:03 - 10:03 (00:00)
trustpor ftpd31572 www.trustport.co Tue Oct 1 10:03 - 10:03 (00:00)
trustpor ftpd31571 www.trustport.co Tue Oct 1 10:03 - 10:03 (00:00)
Этот пользователь не существует, и я не могу понять значение второго столбца (tty ok, но что это за ftpd * в деталях?).
Пример /var/log/auth.log
:
Oct 1 22:20:06 kermis proftpd: pam_unix(proftpd:auth): authentication failure; logname= uid=0 euid=0 tty=/dev/ftpd12006 ruser=trustportpro.download rhost=www.trustport.com
Oct 1 22:20:09 kermis proftpd: pam_unix(proftpd:auth): check pass; user unknown
Я также добавляю lastb
вывод (пустой):
btmp begins Tue Oct 1 06:52:36 2013
Системные журналы показывают неудачные попытки входа в систему с этим пользователем, но если они не удались, почему они появляются в last
вывод? Что это может быть, какая-то внешняя атака? Как я могу отследить это в моей системе?