Назад | Перейти на главную страницу

Как узнать последние входы в систему по SSH для Centos и их IP-адрес?

Кажется, кто-то зашел на мой сервер разработки с паролем root и сделал целую кучу разрушений. Как мне проверить последние входы в систему и их IP-адрес в Cent OS?

Спасибо.

lastlog(8) сообщит самую последнюю информацию из /var/log/lastlog объект, если у вас есть pam_lastlog(8) настроен.

aulastlog(8) составит аналогичный отчет, но из журналов аудита в /var/log/audit/audit.log. (Рекомендуется, как auditd(8) записи труднее подделать, чем syslog(3) записи.)

ausearch -c sshd будет искать в ваших журналах аудита отчеты из sshd обработать.

last(8) будет искать через /var/log/wtmp для самых последних входов в систему. lastb(8) покажет bad login attempts.

/root/.bash_history может содержать некоторые подробности, если предположить, что бездельник, который возился с вашей системой, был достаточно некомпетентен, чтобы не удалить ее перед выходом из системы.

Убедитесь, что вы проверили ~/.ssh/authorized_keys файлы для все пользователи в системе проверьте crontabs, чтобы убедиться, что в будущем не планируется открытие новых портов и т. д. вам действительно стоит просто перестроить машину с нуля, не помешает потратить время, чтобы узнать, что сделал злоумышленник.

Обратите внимание, что все журналы, хранящиеся на локальном компьютере, являются подозрительными; единственные журналы, которые вы можете реально доверять перенаправляются на другую машину, которая не была взломана. Возможно, стоит изучить централизованную обработку журналов через rsyslog(8) или auditd(8) удаленное управление машиной.

Использование:

last | grep [username]

или

last | head 
grep sshd /var/log/audit/audit.log

видеть /var/log/secure войдет как

pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=xxx.xxx.xxx.xxx
Failed password for invalid user XXX from xxx.xxx.xxx.xxx