最近在我的(Snow Leopard)Mac Mini的/var/log/secure.log中看到:
Feb 17 06:31:32 mini sshd[37945]: Invalid user charles from 220.248.31.177
Feb 17 06:31:34 mini sshd[37947]: Invalid user charlie from 220.248.31.177
Feb 17 06:31:37 mini sshd[37949]: Invalid user charlotte from 220.248.31.177
Feb 17 06:31:39 mini sshd[37951]: Invalid user chase from 220.248.31.177
Feb 17 06:31:42 mini sshd[37953]: Invalid user cher from 220.248.31.177
Feb 17 06:31:44 mini sshd[37955]: Invalid user chester from 220.248.31.177
Feb 17 06:31:47 mini sshd[37957]: Invalid user chile from 220.248.31.177
Feb 17 06:31:49 mini sshd[37959]: Invalid user chip from 220.248.31.177
还有很多这些:
Feb 17 13:55:23 mini sshd[43204]: Invalid user beth from 23.19.81.173
Feb 17 13:55:23 mini sshd[43206]: in pam_sm_authenticate(): Failed to determine Kerberos principal name.
Feb 17 13:55:23 mini sshd[43204]: error: PAM: authentication error for illegal user beth from 23.19.81.173 via 192.168.0.2
Feb 17 13:55:23 mini sshd[43204]: Failed keyboard-interactive/pam for invalid user beth from 23.19.81.173 port 59508 ssh2
Feb 17 13:55:29 mini sshd[43207]: reverse mapping checking getaddrinfo for 23.19.81.173.rdns.ubiquity.io [23.19.81.173] failed - POSSIBLE BREAK-IN ATTEMPT!
一切始于2月6日左右,一直持续到2月20日,直到我发现它并停用了路由器的端口22转发。尝试来自许多ip地址,中国,北美,上帝知道其他地方(我没有全部检查),但是ups总是按较长的 session 分组,如您在此处看到的。值(value)兆字节。似乎没有任何迹象表明登录成功-我的用户名不标准-但其中有趣的部分让我担心...
我只是费心检查日志,因为我无法登录某个特定的第二个帐户-密码已更改。沮丧,我尝试以root用户身份登录,但root密码也已更改。但是,我的常规用户登录密码(始终登录)没有更改。
我固定了密码,只好照常单用户做root。所有其他一切似乎都很正常,但是密码更改让我很担心-很多。有人听说过这种事吗?有什么办法知道我是否被黑了吗?
多谢。
最佳答案
如果您在不知情的情况下在系统上更改了密码-并且您是唯一有权访问的密码-则您可能已经受到破坏。 Nuke,铺路。
关于security - 尝试登录的SSH haywire-Heartbleed?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/9388288/