[범탱이]님이 남기신 글:

>안녕하세요 또 찾아 왔습니다.^^;;
>lastlog라는 명령으로 확인해보면 ftp계정으로 아래와 같은
모르는 아이피가 기록되어 있는데..어떻게
 해석해야 하는건지 답변좀 부탁드릴께요.
>ftp    ftpd2174 211.147.128.5    금  6월 20 03:45:26 +0900 2003 

========================================

답변이 좀 늦었군요..

일단의 위의 내용으로 봐서는 시스템상에 문제가 있는것
같습니다.

ftp 계정은 시스템 관리용 계정으로 직접적인 로그인을 허락할
필요 없는 계정입니다.

그런데 위의 lastlog에서 로그인 기록이 있다니 의심해봐야
합니다.

우선,
lastlog 명령외에 last 명령어로 최근 접근 기록을 살펴보세요.
정말로 ftp 계정으로 로그인 했는지 아니면 Anonymous 인지를..

만약 Anonymous 가 이닌 경우로 판단되면,

/var/log/secure
/var/log/messages
/var/log/xferlog

위의 로그 파일을 열어서 실제로 ftp 계정으로 로그인했는지
반드시 확인대조해야 합니다.

또한,
/etc/passwd 파일에서 ftp 계정에 대한 home 위치가 어디인지를
알아낸 다음 해당 홈디렉토리도 점검해보시길 바랍니다.

마지막으로
정말로 ftp 계정으로 누군가 직접 원격 로그인했다면,

/etc/shadow 의 ftp 계정의 암호도 실제로
설정되어 있는지 확인바랍니다.

만약 암호도 없이 직접 로그인했다면 시스템이 크랙당한것으로

생각하고 시스템을 다시 설치해야 합니다.

...

핵심은
위의 로그 및 기타 상황으로 봐서 진짜 ftp 계정으로 구군가
접근을 했는지 아니면 Anoymous 인지를 먼저 판단해야 합니다.

앞의 질문내용으로 봐서는 어느쪽이 맞는지 판단할 수
없습니다.