Назад | Перейти на главную страницу

неизвестный пользователь в последнем выводе

Я нашел много строк (~ 900), похожих на эти, в last вывод одного из моих хостов:

trustpor ftpd31576    www.trustport.co Tue Oct  1 10:03 - 10:03  (00:00)
trustpor ftpd31575    www.trustport.co Tue Oct  1 10:03 - 10:03  (00:00)
trustpor ftpd31574    www.trustport.co Tue Oct  1 10:03 - 10:03  (00:00)
trustpor ftpd31573    www.trustport.co Tue Oct  1 10:03 - 10:03  (00:00)
trustpor ftpd31572    www.trustport.co Tue Oct  1 10:03 - 10:03  (00:00)
trustpor ftpd31571    www.trustport.co Tue Oct  1 10:03 - 10:03  (00:00)

Этот пользователь не существует, и я не могу понять значение второго столбца (tty ok, но что это за ftpd * в деталях?).

Пример /var/log/auth.log:

Oct  1 22:20:06 kermis proftpd: pam_unix(proftpd:auth): authentication failure; logname= uid=0 euid=0 tty=/dev/ftpd12006 ruser=trustportpro.download rhost=www.trustport.com
Oct  1 22:20:09 kermis proftpd: pam_unix(proftpd:auth): check pass; user unknown

Я также добавляю lastb вывод (пустой):

btmp begins Tue Oct  1 06:52:36 2013

Системные журналы показывают неудачные попытки входа в систему с этим пользователем, но если они не удались, почему они появляются в last вывод? Что это может быть, какая-то внешняя атака? Как я могу отследить это в моей системе?