Кажется, кто-то зашел на мой сервер разработки с паролем root и сделал целую кучу разрушений. Как мне проверить последние входы в систему и их IP-адрес в Cent OS?
Спасибо.
lastlog(8)
сообщит самую последнюю информацию из /var/log/lastlog
объект, если у вас есть pam_lastlog(8)
настроен.
aulastlog(8)
составит аналогичный отчет, но из журналов аудита в /var/log/audit/audit.log
. (Рекомендуется, как auditd(8)
записи труднее подделать, чем syslog(3)
записи.)
ausearch -c sshd
будет искать в ваших журналах аудита отчеты из sshd
обработать.
last(8)
будет искать через /var/log/wtmp
для самых последних входов в систему. lastb(8)
покажет bad login attempts
.
/root/.bash_history
может содержать некоторые подробности, если предположить, что бездельник, который возился с вашей системой, был достаточно некомпетентен, чтобы не удалить ее перед выходом из системы.
Убедитесь, что вы проверили ~/.ssh/authorized_keys
файлы для все пользователи в системе проверьте crontab
s, чтобы убедиться, что в будущем не планируется открытие новых портов и т. д. вам действительно стоит просто перестроить машину с нуля, не помешает потратить время, чтобы узнать, что сделал злоумышленник.
Обратите внимание, что все журналы, хранящиеся на локальном компьютере, являются подозрительными; единственные журналы, которые вы можете реально доверять перенаправляются на другую машину, которая не была взломана. Возможно, стоит изучить централизованную обработку журналов через rsyslog(8)
или auditd(8)
удаленное управление машиной.
Использование:
last | grep [username]
или
last | head
grep sshd /var/log/audit/audit.log
видеть /var/log/secure
войдет как
pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=xxx.xxx.xxx.xxx
Failed password for invalid user XXX from xxx.xxx.xxx.xxx