Приветствую!

Намедни читаю в логах
Mar  5 07:31:49 login: FAILED LOGIN 1 FROM (null) FOR =mlp5".;^A`:HzUO|^G%p]^Xvg^O{he==хtb~zO*^GX^E^B%V9J^L^BK()JJ=Lu(&Yq2^I"H7{Ov!H, User not known to the underlying authentication module
Mar  5 07:31:52 login: FAILED LOGIN 2 FROM (null) FOR Гъ:муГяє;hЈжсiЩ^[\E‚“°Ћ•®p4#^Sх®›i7_.°Я#XsВЊp°·4хЈu^L0Уz@N°^QЛ^G>У®уюў$юNY*–~кхmІ5^BТK“c9ц^Yr}/ё[Sі, User not known to the underlying authentication module
Mar  5 07:31:54 PAM_pwdb[7881]: check pass; user unknown
Mar  5 07:31:56 login[7881]: FAILED LOGIN 3 FROM (null) FOR ZО¤е‰оэ^V4Вcjю?Z^KRђџђо^_ё†‹ru’—юћл^N>雴Pб/mфA^Tв^GЖОЖF°Х…Й6’f2Ц^V^A«ы@L­і¦, User not known to the underlying authentication module
Mar  5 07:31:57 login[7881]: FAILED LOGIN SESSION FROM (null) FOR юЛaН^Y3иМ , User not known to the underlying authentication module

Решил посмотреть last -20 и вижу:

wtmp begins Tue Mar  5 07:31:47 2002

Совпадение даты и времени, очевидно, не случайное. Но ни каких других признаков постороннего присутствия не наблюдается. Нету лишних сервисов, файлов, система работает нормально.

Теперь мучаюсь - таки взломали или нет? Как бы в этот вопрос внести определенность?

Система - RH 6.2, 2.2.20, OpenSSH 3.0.2p1, Squid 2.4ST3, Qmail, BIND 9.2.0. Более ни чего.
Вроде, все последнее. Через какую дырку могли залезть?
А почему у первых login в логе нету [PID]?

• RE: Есть ли это признак взлома?,Z0termaNN, 16:35 , 08-Мрт-02

расслабься, это неудачные попытки pppd
соединиться. если ты еще раз внимательно
посмотришь лог файл, то увидишь, что авторизация
не прошла и сессия завершена. отсутствие номера
терминала и имени пользователя объясняется
настройками pppd в связке с megtty. для того,
чтобы там начали появляться имена аккоунтов, нужно
pppd пропатчить.
а сопадаение времени попыток захода и wtmp
естественно не случайное, т.к. pppd пишет в
этот файл.