作者 主題: 請問 ttyp 可以偽裝成 ttyv 嗎?  (閱讀 6481 次)

0 會員 與 1 訪客 正在閱讀本文。

icu

  • 可愛的小學生
  • *
  • 文章數: 7
    • 檢視個人資料
請問 ttyp 可以偽裝成 ttyv 嗎?
« 於: 2010-08-30 00:50 »
我使用 FreeBSD 6.4-RELEASE-P10,我的每日 security run output 記錄:

代碼: [選擇]
XXXX.com.tw login failures:
Aug 28 19:07:22 YYYY su: BAD SU YYYY to root on /dev/ttyv3
Aug 28 19:07:26 YYYY su: BAD SU YYYY to root on /dev/ttyv3
Aug 28 19:48:05 YYYY su: BAD SU YYYY to root on /dev/ttyv4

XXXX.com.tw refused connections:

-- End of security output --
(主機名稱以 XXXX 代替,使用者以 YYYY 代替)

可是 Aug 28 19時,我因出差跟本不在,(其他人在的人不會用電腦),這是代表什麼?
這代表 YYYY 的密碼已被破解,但 root 密碼尚未被破解嗎?

我翻閱了 ttyv0 的螢蟇記錄,卻又找不到這幾筆 BAD SU 的記錄,何故?

ttyv* is for local console's only (normally anyway)
ttyp* is for remote (ssh, screen, telnet, etc)

請問 ttyp 可以偽裝成 ttyv 嗎?
我跟本沒開 ssh, telnet port (route 沒有 Port Forwarding 到主機,主機的 pf 防火牆也封了這些 port),
我該去哪兒查 log?

謝謝您。
ms

damon

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 4227
    • 檢視個人資料
    • http://blog.damon.tw/
回覆: 請問 ttyp 可以偽裝成 ttyv 嗎?
« 回覆 #1 於: 2010-08-30 11:35 »
這個年代還用6.4,我只能夠說,自求多福
ssh , telnet服務沒開,不表示其他服務沒漏洞

icu

  • 可愛的小學生
  • *
  • 文章數: 7
    • 檢視個人資料
回覆: 請問 ttyp 可以偽裝成 ttyv 嗎?
« 回覆 #2 於: 2010-08-30 16:52 »
http://www.freebsd.org/security/
引述: lifetimes of the currently supported branches
Branch    Release    Type    Release Date    Estimated EoL
RELENG_6    n/a    n/a    n/a    November 30, 2010
RELENG_6_4    6.4-RELEASE    Extended    November 28, 2008    November 30, 2010
FBSD 6.4 還可以再撐一下 ...
LKK了,不太喜歡變,撐到 11月底再 upgrade :)
ms

icu

  • 可愛的小學生
  • *
  • 文章數: 7
    • 檢視個人資料
回覆: 請問 ttyp 可以偽裝成 ttyv 嗎?
« 回覆 #3 於: 2010-08-30 17:23 »
我找到答案了,分享給大家。
http://www.mail-archive.com/freebsd-questions@freebsd.org/msg174520.html
引用
Re: Problem with logs

Denis
Wed, 12 Sep 2007 10:55:57 -0700

I had such problem with FreeBSD 4.7, and finally discovered that this
records were for the last year.
My auth.log was pretty small and contain records for more than one
year. And daily security included records for the last year. May this
could be applied to you?

Best regards, Denis.
我翻出去年的 security run output,還真的有這三筆完全一樣的 log。
我的這個系統跑三年了,太多 log 沒清 :)
本來想說完蛋了,又要重裝系統,重新檢測...現在決定繼續發呆、打混  ;D
ms