似乎有人用root密码login到我的开发服务器,并做了一大堆破坏。 如何在Cent OS上检查最近login的IP地址?
谢谢。
如果已经configuration了pam_lastlog(8) ,则lastlog(8)将从/var/log/lastlog工具报告最新信息。
aulastlog(8)会做出类似的报告,但是来自审计日志的是/var/log/audit/audit.log 。 (build议,因为auditd(8)logging比syslog(3)logging更难篡改。)
ausearch -c sshd将search您的审计日志以获取sshd进程的报告。
last(8)将通过/var/log/wtmpsearch最近的login。 lastb(8)将显示bad login attempts 。
/root/.bash_history可能包含一些细节,假设在你的系统上/root/.bash_history是不够的,不能在注销之前删除它。
确保你为系统上的所有用户检查~/.ssh/authorized_keys文件,检查crontab以确保没有新的端口被安排在将来某个时候打开等。虽然你真的应该重build机器从头开始 ,花时间去了解攻击者的行为并不会有什么坏处。
请注意,存储在本地机器上的所有日志都是可疑的。 你真正可以信任的唯一日志被转发到另一台没有受到威胁的机器上。 也许值得通过rsyslog(8)或auditd(8)远程机器处理来研究集中日志处理。
grep sshd /var/log/audit/audit.log
使用:
last | grep [username]
要么
last | head