偶不是被入侵了吧。。。请帮看看

amro

[root@localhost ~]# last -n 20 -f /var/log/btmp
nobody   ssh:notty    adsl-226-150.tri Wed Jul  4 14:31    gone - no logout
root     ssh:notty    sun.taru.edu.cn  Wed Jul  4 12:45 - 14:31  (01:46)   
test     ssh:notty    mail.cressnet.ir Wed Jul  4 10:27 - 12:45  (02:17)   
test     ssh:notty    mail.cressnet.ir Wed Jul  4 10:27 - 10:27  (00:00)   
root     tty1                          Tue Jul  3 17:14    gone - no logout
mail     ssh:notty    72.54.118.155    Tue Jul  3 10:56 - 10:27  (23:31)   
pgsql    ssh:notty    72.54.118.155    Tue Jul  3 10:56 - 10:56  (00:00)   
pgsql    ssh:notty    72.54.118.155    Tue Jul  3 10:56 - 10:56  (00:00)   
games    ssh:notty    72.54.118.155    Tue Jul  3 10:56 - 10:56  (00:00)   
angel    ssh:notty    72.54.118.155    Tue Jul  3 10:56 - 10:56  (00:00)   
angel    ssh:notty    72.54.118.155    Tue Jul  3 10:56 - 10:56  (00:00)   
news     ssh:notty    72.54.118.155    Tue Jul  3 10:56 - 10:56  (00:00)   
john     ssh:notty    72.54.118.155    Tue Jul  3 10:56 - 10:56  (00:00)   
john     ssh:notty    72.54.118.155    Tue Jul  3 10:56 - 10:56  (00:00)   
george   ssh:notty    72.54.118.155    Tue Jul  3 10:56 - 10:56  (00:00)   
george   ssh:notty    72.54.118.155    Tue Jul  3 10:56 - 10:56  (00:00)   
richard  ssh:notty    72.54.118.155    Tue Jul  3 10:56 - 10:56  (00:00)   
richard  ssh:notty    72.54.118.155    Tue Jul  3 10:56 - 10:56  (00:00)   
stephen  ssh:notty    72.54.118.155    Tue Jul  3 10:56 - 10:56  (00:00)   
stephen  ssh:notty    72.54.118.155    Tue Jul  3 10:56 - 10:56  (00:00)   

btmp begins Mon Apr 30 22:05:54 2007
偶从来就是用root登录地。。。怎么查看这个btmp日志的时候（刚自己学地命令），怎么那么多不认识的用户啊？好吓人。。。不过除了root，其他都不是通过tty登录的么？偶也不明白这个，请帮看看，谢谢。

ps：
[root@localhost ~]# finger -s
Login     Name       Tty      Idle  Login Time   Office     Office Phone
root      root       pts/2          Jul  7 19:39 (:0.0)
finger就显示了这么一点，没了。。。不过说明上写的也就是显示从tty登录的。。偶也不太明白。。。

还有呀，偶一直用着电驴的，还有BT，疯狂地下载～，不会是记录的是它们吧。。

lpw

用 Firewall Block 之…

amro

Post by lpw
用 Firewall Block 之…

不明白。用防火墙屏蔽什么？

lpw

把 port22(ssh) 屏蔽就安全了～

amro

Post by lpw
把 port22(ssh) 屏蔽就安全了～

Thx,but what I can do with these user names such as "test","pgsql",etc.
Can I delete them? How to do it then?
And thank you again~~

ps:I killed scim to run wine on my FC6,so Only I can type is EN...

lpw

User List

1. system-config-users

复制代码

amro

Post by lpw
User List

1. system-config-users

复制代码

谢谢.........但是........怎么这个里面没有显示用户呢？一个都没有呀.......是不是，其实偶没有被入侵呢？

lpw

richard, stephen 那些应该是非本机用户吧
汗一下楼主, root 敢死队啊~

mech

很显然是72.54.118.155等等在探测你的系统

amro

追着记录查找到几个用户：
[root@localhost ~]# id test
id: test：无此用户
[root@localhost ~]# id pgsql
id: pgsql：无此用户
[root@localhost ~]# id games
uid=12(games) gid=100(users) groups=100(users)
[root@localhost ~]# id angel
id: angel：无此用户
[root@localhost ~]# id news
uid=9(news) gid=13(news) groups=13(news)
[root@localhost ~]# id john
id: john：无此用户
[root@localhost ~]# id george
id: george：无此用户
[root@localhost ~]# id richard
id: richard：无此用户
[root@localhost ~]# id stephen
id: stephen：无此用户
[root@localhost ~]# id mail
uid=8(mail) gid=12(mail) groups=12(mail)
[root@localhost ~]# id nobody
uid=99(nobody) gid=99(nobody) groups=99(nobody)
之后有名字的，通通用userdel删除了（没有用-r参数，因为它们通通地没有home文件夹）；对应的组也删除了。偶不知道，为什么它们这些用户，都没有在上面的用户管理器里面显示呢？这些应该不是默认用户吧？