Faça o download e instale o fail2ban para evitar ataques de força bruta para FTP e outras coisas, como SSH.
Encontrei muitas linhas (~ 900) semelhantes a estas na saída last de um dos meus hosts:
trustpor ftpd31576 www.trustport.co Tue Oct 1 10:03 - 10:03 (00:00)
trustpor ftpd31575 www.trustport.co Tue Oct 1 10:03 - 10:03 (00:00)
trustpor ftpd31574 www.trustport.co Tue Oct 1 10:03 - 10:03 (00:00)
trustpor ftpd31573 www.trustport.co Tue Oct 1 10:03 - 10:03 (00:00)
trustpor ftpd31572 www.trustport.co Tue Oct 1 10:03 - 10:03 (00:00)
trustpor ftpd31571 www.trustport.co Tue Oct 1 10:03 - 10:03 (00:00)
Esse usuário não existe, e não consigo entender o significado da segunda coluna (tty ok, mas quais são esses ftpd * em detalhes?).
Exemplo de /var/log/auth.log :
Oct 1 22:20:06 kermis proftpd: pam_unix(proftpd:auth): authentication failure; logname= uid=0 euid=0 tty=/dev/ftpd12006 ruser=trustportpro.download rhost=www.trustport.com
Oct 1 22:20:09 kermis proftpd: pam_unix(proftpd:auth): check pass; user unknown
Eu também adiciono lastb output (vazio):
btmp begins Tue Oct 1 06:52:36 2013
Os registros do sistema mostram tentativas malsucedidas de fazer login com esse usuário, mas se eles falharem, por que eles aparecem na saída last ? O que poderia ser isso, algum tipo de ataque externo? Como posso rastrear isso no meu sistema?
Faça o download e instale o fail2ban para evitar ataques de força bruta para FTP e outras coisas, como SSH.
Tags authentication linux last