(参考)http://www.softel.co.jp/blogs/tech/archives/1516
http://cro-pel.com/modules/penguin/content0102.html

溜まりすぎたapacheのログを消してたら、
/var/log/btmp
のサイズが膨れ上がってることに気づく。

不正アクセスの記録とのことで、

#lastb

と試すと

ayako ssh:notty 121.11.76.*** Tue Nov 9 10:58 - 10:58 (00:00)
ayako ssh:notty 121.11.76.*** Tue Nov 9 10:58 - 10:58 (00:00)
ayako ssh:notty 121.11.76.*** Tue Nov 9 10:58 - 10:58 (00:00)
ayako ssh:notty 121.11.76.*** Tue Nov 9 10:58 - 10:58 (00:00)
ayako ssh:notty 121.11.76.*** Tue Nov 9 10:58 - 10:58 (00:00)
eiko ssh:notty 121.11.76.*** Tue Nov 9 10:58 - 10:58 (00:00)
eiko ssh:notty 121.11.76.*** Tue Nov 9 10:58 - 10:58 (00:00)
eiko ssh:notty 121.11.76.*** Tue Nov 9 10:58 - 10:58 (00:00)
eiko ssh:notty 121.11.76.*** Tue Nov 9 10:58 - 10:58 (00:00)
eiko ssh:notty 121.11.76.*** Tue Nov 9 10:58 - 10:58 (00:00)
eiko ssh:notty 121.11.76.*** Tue Nov 9 10:58 - 10:58 (00:00)
sano ssh:notty 121.11.76.*** Tue Nov 9 10:57 - 10:57 (00:00)
sano ssh:notty 121.11.76.*** Tue Nov 9 10:57 - 10:57 (00:00)
sano ssh:notty 121.11.76.*** Tue Nov 9 10:57 - 10:57 (00:00)
yasuda ssh:notty 121.11.76.*** Tue Nov 9 10:57 - 10:57 (00:00)
yasuda ssh:notty 121.11.76.*** Tue Nov 9 10:57 - 10:57 (00:00)
yasuda ssh:notty 121.11.76.*** Tue Nov 9 10:57 - 10:57 (00:00)

かなり色んなＩＤやパスワードでアクセスされている。。ayakoて誰やねん。
念のためにlastで直近のログイン記録を確認するも知らないネットワークからのアクセスはないので、大丈夫な様子。

ひとまずパスワードログインはできなくすることで対処。