このクラウドサーバーを借りましたが、最近少し攻撃を受けました。 tty を使用すると、疑わしいユーザーがログインしていることを確認できます。

leetom@S152:~$ last -x ayn1
ayn1     tty1                          Wed Oct 28 18:59 - 19:01  (00:02)
ayn1     tty1                          Wed Oct 28 18:55 - 18:59  (00:03)

私が知る限り、私のサーバーがハッキングされると、ユーザーはpts（sshまたは他の手段）を介してのみログインでき、IPアドレスを記録する必要があります。そのため、サービスプロバイダのホストがハッキングされ、そのホストを通じて疑わしいユーザーがログインした可能性があると考えられます。それは可能ですか？ （もちろん認めません。）

ところで、root@(none):/# useradd -o -u 0 -g 0 -M -d /root -s /bin/bash ayn1 Webコンソールでコマンドを表示できますが、Webコンソールをどのように実装するのかわかりません。

修正する

これが再び発生し、次のログが見つかりました。

Nov  1 17:31:36 S152 login[21780]: pam_unix(login:auth): check pass; user unknown
Nov  1 17:31:36 S152 login[21780]: pam_unix(login:auth): authentication failure; logname=ayn1 uid=0 euid=0 tty=/dev/tty1 ruser= rhost=
Nov  1 17:31:39 S152 login[21780]: FAILED LOGIN (1) on '/dev/tty1' FOR 'UNKNOWN', Authentication failure
Nov  1 17:33:21 S152 sshd[804]: Received signal 15; terminating.
Nov  1 17:33:21 S152 sshd[1039]: Server listening on 0.0.0.0 port 22.
Nov  1 17:33:21 S152 sshd[1039]: Server listening on :: port 22.
Nov  1 17:33:45 S152 login[1563]: pam_unix(login:auth): check pass; user unknown
Nov  1 17:33:45 S152 login[1563]: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=/dev/tty1 ruser= rhost=
Nov  1 17:33:49 S152 login[1563]: FAILED LOGIN (1) on '/dev/tty1' FOR 'UNKNOWN', Authentication failure
Nov  1 17:34:00 S152 login[1563]: pam_unix(login:session): session opened for user yan1 by LOGIN(uid=0)
Nov  1 17:34:00 S152 login[2054]: ROOT LOGIN  on '/dev/tty1'
Nov  1 17:34:53 S152 login[1563]: pam_unix(login:session): session closed for user yan1