usuário desconhecido na última saída

2

Encontrei muitas linhas (~ 900) semelhantes a estas na saída last de um dos meus hosts:

trustpor ftpd31576    www.trustport.co Tue Oct  1 10:03 - 10:03  (00:00)
trustpor ftpd31575    www.trustport.co Tue Oct  1 10:03 - 10:03  (00:00)
trustpor ftpd31574    www.trustport.co Tue Oct  1 10:03 - 10:03  (00:00)
trustpor ftpd31573    www.trustport.co Tue Oct  1 10:03 - 10:03  (00:00)
trustpor ftpd31572    www.trustport.co Tue Oct  1 10:03 - 10:03  (00:00)
trustpor ftpd31571    www.trustport.co Tue Oct  1 10:03 - 10:03  (00:00)

Esse usuário não existe, e não consigo entender o significado da segunda coluna (tty ok, mas quais são esses ftpd * em detalhes?).

Exemplo de /var/log/auth.log :

Oct  1 22:20:06 kermis proftpd: pam_unix(proftpd:auth): authentication failure; logname= uid=0 euid=0 tty=/dev/ftpd12006 ruser=trustportpro.download rhost=www.trustport.com
Oct  1 22:20:09 kermis proftpd: pam_unix(proftpd:auth): check pass; user unknown

Eu também adiciono lastb output (vazio):

btmp begins Tue Oct  1 06:52:36 2013

Os registros do sistema mostram tentativas malsucedidas de fazer login com esse usuário, mas se eles falharem, por que eles aparecem na saída last ? O que poderia ser isso, algum tipo de ataque externo? Como posso rastrear isso no meu sistema?

    
por lorenzo.marcon 02.10.2013 / 00:16

1 resposta

0

Faça o download e instale o fail2ban para evitar ataques de força bruta para FTP e outras coisas, como SSH.

link

    
por 03.01.2017 / 15:00