我从罗马尼亚的一个IP地址的“last”命令中注意到以下奇怪的条目:
user pts/0 89.123.111.228 Sat Jul 28 12:48 - 12:48 (00:00) 我想知道这是否意味着我被黑了? 但是说他们login了0分钟,这是否意味着他们失败了? 我无法在手册页中find答案。
这似乎是一个不到一分钟的成功login。 last命令默认显示成功login。
您可以通过检查系统日志(例如/var/log/messages和/var/log/audit/audit.log )并查找login和注销事件来确认它。
我最近有机会检查一台被盗用的机器,并采取了类似的模式。 在第一次成功的妥协之后,攻击者可以简单地记下你的服务器的信息,稍后再传给其他的犯罪分子。 如果您的系统保持打开状态,请期待来自世界各地的接下来几天的login。