這個伺服器是被黑了還是只是登錄嘗試？查看日誌

有人能說出這是什麼意思嗎？我嘗試了一個命令，比如lastb查看最後一個使用者登錄，我看到一些來自中國的奇怪登錄（伺服器是歐盟，我在歐盟）。我想知道這些可能是登錄嘗試還是成功登錄？

這些似乎很舊，通常我只將埠 22 鎖定到我的 IP，我想我已經打開了一段時間的埠，最後一次日誌是在 7 月。

root     ssh:notty    222.92.89.xx     Sat Jul  9 12:26 - 12:26  (00:00)
root     ssh:notty    222.92.89.xx     Sat Jul  9 12:04 - 12:04  (00:00)
oracle   ssh:notty    222.92.89.xx     Sat Jul  9 11:43 - 11:43  (00:00)
gary     ssh:notty    222.92.89.xx     Sat Jul  9 11:22 - 11:22  (00:00)
root     ssh:notty    222.92.89.xx     Sat Jul  9 11:01 - 11:01  (00:00)
gt05     ssh:notty    222.92.89.xx     Sat Jul  9 10:40 - 10:40  (00:00)
admin    ssh:notty    222.92.89.xx     Sat Jul  9 10:18 - 10:18  (00:00)

lastb只顯示登錄失敗。用於last查看成功登錄。

它顯示人們試圖上傳或下載內容。“notty”部分錶示沒有 tty（其中 tty 是電傳打字機的縮寫），現在表示沒有監視器或 gui，而 ssh 表示埠 22，它們合起來表示類似 scp 或 rsync 之類的東西。

所以不是黑客攻擊或登錄嘗試，而是錯誤或輸入錯誤的密碼。可能是某些內容是通過Google找到的，但需要有人試圖猜測的密碼。

其實，仔細想想，上面的說法是不對的。正如提問者所懷疑的那樣，它們可能是通過 ssh 登錄嘗試失敗；並且（正如我第一次錯過的那樣）它們以 21 或 22 分鐘的定期間隔顯示，這表明一定程度的自動化，但lastb根據定義顯示失敗，因此需要將這些結果進行比較last以查看是否有任何成功。

引用自：https://serverfault.com/questions/399514