我注意到,来自罗马尼亚 IP 地址的“最后一个”命令中有以下奇怪的条目:
user pts/0 89.123.111.228 Sat Jul 28 12:48 - 12:48 (00:00)
我想知道这是否意味着我被黑客入侵了?但是它说他们登录了 0 分钟,这是否意味着他们失败了?我在手册页中找不到答案。
答案1
这看起来是一次持续不到一分钟的成功登录。该last命令默认仅显示成功登录。
您可以通过检查系统日志(例如/var/log/messages和/var/log/audit/audit.log)并查找登录和注销事件来确认这一点。
我最近有机会检查了一台被入侵的机器,这次入侵也遵循了类似的模式。第一的成功入侵后,攻击者可能会记录下您的服务器信息,随后将其传递给其他犯罪分子。如果您的系统仍然开放,预计未来几天将有来自世界各地的用户登录。