我在其中一个主机的last输出中发现了很多类似于这些的行(〜900):
trustpor ftpd31576 www.trustport.co Tue Oct 1 10:03 - 10:03 (00:00) trustpor ftpd31575 www.trustport.co Tue Oct 1 10:03 - 10:03 (00:00) trustpor ftpd31574 www.trustport.co Tue Oct 1 10:03 - 10:03 (00:00) trustpor ftpd31573 www.trustport.co Tue Oct 1 10:03 - 10:03 (00:00) trustpor ftpd31572 www.trustport.co Tue Oct 1 10:03 - 10:03 (00:00) trustpor ftpd31571 www.trustport.co Tue Oct 1 10:03 - 10:03 (00:00)
那个用户不存在,我不明白第二列的含义(tty ok,但是那些ftpd *是什么细节?)。
/var/log/auth.log示例:
Oct 1 22:20:06 kermis proftpd: pam_unix(proftpd:auth): authentication failure; logname= uid=0 euid=0 tty=/dev/ftpd12006 ruser=trustportpro.download rhost=www.trustport.com Oct 1 22:20:09 kermis proftpd: pam_unix(proftpd:auth): check pass; user unknown
我也添加lastb输出(空):
btmp begins Tue Oct 1 06:52:36 2013
系统日志显示失败的用户login尝试,但如果失败,为什么他们出现在last输出? 这是什么,某种外部攻击? 我怎样才能在我的系统上进行跟踪?
下载并安装fail2ban,以防止对FTP和其他东西(如SSH)的暴力攻击。