SSH haywire与登录尝试 - Heartbleed？

Question

最近看到在我的（雪豹）的Mac Mini的/var/log/secure.log：

Feb 17 06:31:32 mini sshd[37945]: Invalid user charles from 220.248.31.177 
    Feb 17 06:31:34 mini sshd[37947]: Invalid user charlie from 220.248.31.177 
    Feb 17 06:31:37 mini sshd[37949]: Invalid user charlotte from 220.248.31.177 
    Feb 17 06:31:39 mini sshd[37951]: Invalid user chase from 220.248.31.177 
    Feb 17 06:31:42 mini sshd[37953]: Invalid user cher from 220.248.31.177 
    Feb 17 06:31:44 mini sshd[37955]: Invalid user chester from 220.248.31.177 
    Feb 17 06:31:47 mini sshd[37957]: Invalid user chile from 220.248.31.177 
    Feb 17 06:31:49 mini sshd[37959]: Invalid user chip from 220.248.31.177 

也有一大堆的这些：

Feb 17 13:55:23 mini sshd[43204]: Invalid user beth from 23.19.81.173 
    Feb 17 13:55:23 mini sshd[43206]: in pam_sm_authenticate(): Failed to determine Kerberos principal name. 
    Feb 17 13:55:23 mini sshd[43204]: error: PAM: authentication error for illegal user beth from 23.19.81.173 via 192.168.0.2 
    Feb 17 13:55:23 mini sshd[43204]: Failed keyboard-interactive/pam for invalid user beth from 23.19.81.173 port 59508 ssh2 
    Feb 17 13:55:29 mini sshd[43207]: reverse mapping checking getaddrinfo for 23.19.81.173.rdns.ubiquity.io [23.19.81.173] failed - POSSIBLE BREAK-IN ATTEMPT! 

一切都开始围绕2月6日，并一直持续到2月20日，当我发现它并停用了我的路由器的端口22转发。这些尝试来自许多IP地址，中国，北美，上帝知道还有哪些地方（我没有全部检查它们），但是这些ups总是按照您在这里看到的长时间进行分组。兆价值。似乎没有任何迹象表明成功登录 - 我有一个非标准的用户名 - 但这里有一个有趣的部分，让我担心...

我只打扰检查日志，因为我cann登录到某个第二个帐户 - 密码已更改。沮丧，我试图以root身份登录，但的root密码也发生了变化。但是，我的常规用户登录密码（始终登录）没有改变。

我修正了密码，不得不像往常一样单用户做root。其他的一切似乎都很正常，但密码更改令我担心 - 很多。有没有人听说过这种事？任何方式知道我是否被黑客入侵？

非常感谢。

Answer 1

如果您的系统密码在您不知情的情况下发生了变化 - 而且您是唯一有权访问的人 - 那么您可能已经被盗用。 Nuke和铺路。