Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 1 reply
  • Subscribers 2 subscribers
  • Views 806 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSH Attack?

Snooze
Hi all,

The strangest thing happend this afternoon. When I checked my logs at aprox. 16:00 I found this:

Sep 22 13:12:52 *** login[25941]: invalid password for `root' on `tty1' 
Sep 22 13:12:52 *** login[25941]: REPEATED login failures on `tty1' 
Sep 22 13:13:07 *** login[12094]: ROOT LOGIN on `tty1' 
Sep 22 15:12:28 (none) sshd[170]: Server listening on 0.0.0.0 port 22.
Sep 22 15:12:28 (none) su: (to nobody) root on /dev/console
Sep 22 13:18:56 *** login[1123]: ROOT LOGIN on `tty1' 

But it wasn't me who logged in. When I checked the packetfilter log I found this ip-address at 13:17 :218.22.207.43.

Has someone been into my system? SSH was turned off at that time.

greetz,

Snooze


This thread was automatically locked due to age.
  • 0
    Hi all,

    I've traced my problem back to a time difference.
    Seems that in fact it was me logging in on the console. There's a two hour difference between the log time and the console time (strange?). I think it has someting to do with GMT timing?

    Greetz and thanx in advance for anyone who was already sending an answer,

    Snooze