SSH haywire與登錄嘗試 - Heartbleed？

Question

最近看到在我的（雪豹）的Mac Mini的/var/log/secure.log：

Feb 17 06:31:32 mini sshd[37945]: Invalid user charles from 220.248.31.177 
    Feb 17 06:31:34 mini sshd[37947]: Invalid user charlie from 220.248.31.177 
    Feb 17 06:31:37 mini sshd[37949]: Invalid user charlotte from 220.248.31.177 
    Feb 17 06:31:39 mini sshd[37951]: Invalid user chase from 220.248.31.177 
    Feb 17 06:31:42 mini sshd[37953]: Invalid user cher from 220.248.31.177 
    Feb 17 06:31:44 mini sshd[37955]: Invalid user chester from 220.248.31.177 
    Feb 17 06:31:47 mini sshd[37957]: Invalid user chile from 220.248.31.177 
    Feb 17 06:31:49 mini sshd[37959]: Invalid user chip from 220.248.31.177 

也有一大堆的這些：

Feb 17 13:55:23 mini sshd[43204]: Invalid user beth from 23.19.81.173 
    Feb 17 13:55:23 mini sshd[43206]: in pam_sm_authenticate(): Failed to determine Kerberos principal name. 
    Feb 17 13:55:23 mini sshd[43204]: error: PAM: authentication error for illegal user beth from 23.19.81.173 via 192.168.0.2 
    Feb 17 13:55:23 mini sshd[43204]: Failed keyboard-interactive/pam for invalid user beth from 23.19.81.173 port 59508 ssh2 
    Feb 17 13:55:29 mini sshd[43207]: reverse mapping checking getaddrinfo for 23.19.81.173.rdns.ubiquity.io [23.19.81.173] failed - POSSIBLE BREAK-IN ATTEMPT! 

一切都開始圍繞2月6日，並一直持續到2月20日，當我發現它並停用了我的路由器的端口22轉發。這些嘗試來自許多IP地址，中國，北美，上帝知道還有哪些地方（我沒有全部檢查它們），但是這些ups總是按照您在這裏看到的長時間進行分組。兆價值。似乎沒有任何跡象表明成功登錄 - 我有一個非標準的用戶名 - 但這裏有一個有趣的部分，讓我擔心...

我只打擾檢查日誌，因爲我cann登錄到某個第二個帳戶 - 密碼已更改。沮喪，我試圖以root身份登錄，但的root密碼也發生了變化。但是，我的常規用戶登錄密碼（始終登錄）沒有改變。

我修正了密碼，不得不像往常一樣單用戶做root。其他的一切似乎都很正常，但密碼更改令我擔心 - 很多。有沒有人聽說過這種事？任何方式知道我是否被黑客入侵？

非常感謝。

Answer 1

如果您的系統密碼在您不知情的情況下發生了變化 - 而且您是唯一有權訪問的人 - 那麼您可能已經被盜用。 Nuke和鋪路。