Eu aluguei este servidor de nuvem e ele foi meio que atacado recentemente. Eu posso ver um usuário suspeito logado via tty.

leetom@S152:~$ last -x ayn1
ayn1     tty1                          Wed Oct 28 18:59 - 19:01  (00:02)
ayn1     tty1                          Wed Oct 28 18:55 - 18:59  (00:03)

Tanto quanto eu sei, se o meu servidor está quebrado, o usuário só poderia fazer o login via pts (ssh ou outra coisa), e o endereço IP deve ser gravado. Então, acho que a máquina host do provedor de serviços pode estar quebrada e esse usuário suspeito fez login via host. Isso é possível? (Claro que eles não admitem isso.)

A propósito, posso ver o comando root@(none):/# useradd -o -u 0 -g 0 -M -d /root -s /bin/bash ayn1 em seu console da web, mas não sei como eles implementam o console da web.

atualizar

Isso aconteceu novamente e eu encontrei este log:

Nov  1 17:31:36 S152 login[21780]: pam_unix(login:auth): check pass; user unknown
Nov  1 17:31:36 S152 login[21780]: pam_unix(login:auth): authentication failure; logname=ayn1 uid=0 euid=0 tty=/dev/tty1 ruser= rhost=
Nov  1 17:31:39 S152 login[21780]: FAILED LOGIN (1) on '/dev/tty1' FOR 'UNKNOWN', Authentication failure
Nov  1 17:33:21 S152 sshd[804]: Received signal 15; terminating.
Nov  1 17:33:21 S152 sshd[1039]: Server listening on 0.0.0.0 port 22.
Nov  1 17:33:21 S152 sshd[1039]: Server listening on :: port 22.
Nov  1 17:33:45 S152 login[1563]: pam_unix(login:auth): check pass; user unknown
Nov  1 17:33:45 S152 login[1563]: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=/dev/tty1 ruser= rhost=
Nov  1 17:33:49 S152 login[1563]: FAILED LOGIN (1) on '/dev/tty1' FOR 'UNKNOWN', Authentication failure
Nov  1 17:34:00 S152 login[1563]: pam_unix(login:session): session opened for user yan1 by LOGIN(uid=0)
Nov  1 17:34:00 S152 login[2054]: ROOT LOGIN  on '/dev/tty1'
Nov  1 17:34:53 S152 login[1563]: pam_unix(login:session): session closed for user yan1