用户在什么情况下才是用 tty 登录的

2015-10-29 16:39:37 +08:00

leetom

我租用的云主机被黑了，多出来了奇怪的用户。可以查到用户是通过 tty 登录的。
而一般远程登录都是 pts 登录的，而且能记录登录的 ip 地址。所以怀疑是他们的主机被黑，导致我的客户机系统受攻击。但是他们坚持是我自己系统的问题。

leetom@S152:~$ last -x ayn1
ayn1 tty1 Wed Oct 28 18:59 - 19:01 (00:02)
ayn1 tty1 Wed Oct 28 18:55 - 18:59 (00:03)

在他们提供的 web 控制台中能查到如下的创建用户的命令。 web 控制台并没有异常登录的信息。

root@(none):/# useradd -o -u 0 -g 0 -M -d /root -s /bin/bash ayn1

他们说这些用户有可能是通过脚本创建的，有可能吗？

4699 次点击

所在节点

Linux

10 条回复

oska874

2015-10-29 17:17:34 +08:00

本地， ctrl+alt+F1 登录的。

leetom

2015-10-29 17:29:41 +08:00

@oska874 这个我知道，关键是，我现在出现的这种情况肯定不是这样子登录的。

zealot0630

2015-10-29 20:25:55 +08:00

vnc 也算

zealot0630

2015-10-29 20:26:24 +08:00

补充：运营商提供的 vnc 服务不是你自己机器里面装的

realpg

2015-10-29 21:47:27 +08:00

云服务器提供商的 web 控制台可能映射到 tty1

salmon5

2015-10-30 09:31:42 +08:00

KVM 的服务器，可用通过自定义的端口到 VNC 登录到 console 。

leetom

2015-11-01 13:30:45 +08:00

@zealot0630 也就是说，这两个登录肯定是运营商他们的问题？

leetom

2015-11-01 19:47:22 +08:00

@salmon5 服务商可能是用的 KVM ，远程登录到 tty 吗？我没有装 vnc

salmon5

2015-11-01 20:37:31 +08:00

@leetom 俺说的 KVM 是自己的服务器主机装的，服务商的话 KVM 可能不支持直接 VNC ，而是服务商经过二次开发，通过网页形式来 VNC 的，当然网页也相对安全。（阿里云通过网页登陆虚机的 console ）

hadoop

2017-02-15 19:57:19 +08:00

lz 查出来 tty 登录原因了吗？我今天也遇到了

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/232049

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.