Mensagem do comando lastb

[DrunkenMasterRJ]

Prezados,

A saída abaixo, do comando lastb, pode significar uma tentativa de ataque??? Ou que o host está comprometido???

Código:

root           tty1                          Thu Jun  2 15:38 - 15:38  (00:00)    
root           tty1                          Thu Jun  2 15:35 - 15:35  (00:00)    
UNKNOWN  tty1                          Thu Jun  2 14:06 - 14:06  (00:00)    
root           tty1                          Thu Jun  2 13:17 - 13:17  (00:00)

btmp begins Thu Jun  2 13:17:53 2011

Desde já obrigado!

[mmachado]

Dependendo do que você considera uma tentativa de ataque, sim, pode ser considerado.

Essa entrada muito provavelmente significa que foi feita uma tentativa de login com uma conta inexistente. Esse log, por padrão, não registra o login usado na tentativa frustrada de acesso. Se quiser fazer isso, você precisa editar o arquivo /etc/login.defs e alterar de "no" para "yes" a entrada LOG_UNKFAIL_ENAB.

Minha única restrição quanto a essa opção é que, vez por outra, um usuário digita logo a senha antes de digitar o login. Se essa opção estiver habilitada, essa senha estará nos logs, o que não é nada recomendável.

[]s, MM