我租了这个云服务器，最近有点受到攻击。我可以看到可疑用户通过 tty 登录。

leetom@S152:~$ last -x ayn1
ayn1     tty1                          Wed Oct 28 18:59 - 19:01  (00:02)
ayn1     tty1                          Wed Oct 28 18:55 - 18:59  (00:03)

据我所知，如果我的服务器被破解，用户只能通过pts（ssh或其他方式）登录，并且应该记录ip地址。所以我认为服务提供商的主机可能被破解，并且这个可疑用户通过主机登录。那可能吗？ （当然他们不承认。）

顺便说一下，我可以root@(none):/# useradd -o -u 0 -g 0 -M -d /root -s /bin/bash ayn1 从他们的Web控制台看到命令，但我不知道他们是如何实现Web控制台的。

更新

又出现了这种情况，我发现了这个日志：

Nov  1 17:31:36 S152 login[21780]: pam_unix(login:auth): check pass; user unknown
Nov  1 17:31:36 S152 login[21780]: pam_unix(login:auth): authentication failure; logname=ayn1 uid=0 euid=0 tty=/dev/tty1 ruser= rhost=
Nov  1 17:31:39 S152 login[21780]: FAILED LOGIN (1) on '/dev/tty1' FOR 'UNKNOWN', Authentication failure
Nov  1 17:33:21 S152 sshd[804]: Received signal 15; terminating.
Nov  1 17:33:21 S152 sshd[1039]: Server listening on 0.0.0.0 port 22.
Nov  1 17:33:21 S152 sshd[1039]: Server listening on :: port 22.
Nov  1 17:33:45 S152 login[1563]: pam_unix(login:auth): check pass; user unknown
Nov  1 17:33:45 S152 login[1563]: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=/dev/tty1 ruser= rhost=
Nov  1 17:33:49 S152 login[1563]: FAILED LOGIN (1) on '/dev/tty1' FOR 'UNKNOWN', Authentication failure
Nov  1 17:34:00 S152 login[1563]: pam_unix(login:session): session opened for user yan1 by LOGIN(uid=0)
Nov  1 17:34:00 S152 login[2054]: ROOT LOGIN  on '/dev/tty1'
Nov  1 17:34:53 S152 login[1563]: pam_unix(login:session): session closed for user yan1