last我在我的一个主机的输出中发现了很多与这些类似的行(~900) :
trustpor ftpd31576 www.trustport.co Tue Oct 1 10:03 - 10:03 (00:00)
trustpor ftpd31575 www.trustport.co Tue Oct 1 10:03 - 10:03 (00:00)
trustpor ftpd31574 www.trustport.co Tue Oct 1 10:03 - 10:03 (00:00)
trustpor ftpd31573 www.trustport.co Tue Oct 1 10:03 - 10:03 (00:00)
trustpor ftpd31572 www.trustport.co Tue Oct 1 10:03 - 10:03 (00:00)
trustpor ftpd31571 www.trustport.co Tue Oct 1 10:03 - 10:03 (00:00)
该用户不存在,而且我无法理解第二列的含义(tty 正常,但是 ftpd* 详细是什么?)。
例如/var/log/auth.log:
Oct 1 22:20:06 kermis proftpd: pam_unix(proftpd:auth): authentication failure; logname= uid=0 euid=0 tty=/dev/ftpd12006 ruser=trustportpro.download rhost=www.trustport.com
Oct 1 22:20:09 kermis proftpd: pam_unix(proftpd:auth): check pass; user unknown
我还添加lastb输出(空):
btmp begins Tue Oct 1 06:52:36 2013
系统日志显示该用户登录尝试失败,但如果失败了,为什么它们会出现在输出中last?这可能是某种外部攻击吗?我如何在我的系统上追踪此问题?