我租用的云主机被黑了,多出来了奇怪的用户。可以查到用户是通过 tty 登录的。
而一般远程登录都是 pts 登录的,而且能记录登录的 ip 地址。所以怀疑是他们的主机被黑,导致我的客户机系统受攻击。但是他们坚持是我自己系统的问题。
leetom@S152:~$ last -x ayn1
ayn1 tty1 Wed Oct 28 18:59 - 19:01 (00:02)
ayn1 tty1 Wed Oct 28 18:55 - 18:59 (00:03)
在他们提供的 web 控制台中能查到如下的创建用户的命令。 web 控制台并没有异常登录的信息。
root@(none):/# useradd -o -u 0 -g 0 -M -d /root -s /bin/bash ayn1
他们说这些用户有可能是通过脚本创建的,有可能吗?
 |
1
oska874 Oct 29, 2015
本地, ctrl+alt+F1 登录的。
|
 |
3
zealot0630 Oct 29, 2015
vnc 也算
|
|
4
zealot0630 Oct 29, 2015
补充:运营商提供的 vnc 服务 不是你自己机器里面装的
|
 |
5
realpg PRO 云服务器提供商的 web 控制台可能映射到 tty1
|
 |
6
salmon5 Oct 30, 2015
KVM 的服务器,可用通过自定义的端口到 VNC 登录到 console 。
|
 |
7
leetom OP @zealot0630 也就是说,这两个登录肯定是运营商他们的问题?
|
|
9
salmon5 Nov 1, 2015
@leetom 俺说的 KVM 是自己的服务器主机装的,服务商的话 KVM 可能不支持直接 VNC ,而是服务商经过二次开发,通过网页形式来 VNC 的,当然网页也相对安全。(阿里云通过网页登陆虚机的 console )
|
 |
10
hadoop Feb 15, 2017 via Android
lz 查出来 tty 登录原因了吗?我今天也遇到了
|
Select Language