누군가가 루트 비밀번호로 내 dev 서버에 로그인 한 것으로 보이며 완전히 파괴되었습니다. Cent OS에서 최근 로그인 및 IP 주소를 어떻게 확인합니까?
감사.
답변
lastlog(8)구성한 /var/log/lastlog경우 시설의 최신 정보를보고합니다 pam_lastlog(8).
aulastlog(8)비슷한 보고서를 작성하지만의 감사 로그에서 작성 /var/log/audit/audit.log합니다. ( auditd(8)레코드가 syslog(3)레코드 보다 무단 변경 되기 때문에 권장됩니다 .)
ausearch -c sshdsshd프로세스 에서 보고서에 대한 감사 로그를 검색합니다 .
last(8)/var/log/wtmp최신 로그인을 검색 합니다. lastb(8)표시 bad login attempts됩니다.
/root/.bash_history 로그 아웃하기 전에 시스템을 피들 링 한 쿠버가이를 제거 할 수 없을 정도로 무능하다고 가정하면 세부 사항이 포함될 수 있습니다.
당신이 확인 확인 ~/.ssh/authorized_keys을 위해 파일을 모든 사용자 시스템, 검사 crontab의 확신 새로운 포트 상태 등 미래의 어떤 시점에서 열릴 예정하려면 당신은 정말 처음부터 시스템을 재 구축해야한다 , 그것은 상처 않을 것 공격자가 무엇을했는지 배우기 위해
로컬 머신에 저장된 모든 로그는 의심스러운 것입니다. 실제로 신뢰할 수있는 유일한 로그 는 손상되지 않은 다른 컴퓨터로 전달됩니다. 아마도 그것은을 통해 중앙 집중식 로그 처리 조사 가치가있을 것 rsyslog(8)또는 auditd(8)원격 시스템의 처리.
답변
사용하다:
last | grep [username]
또는
last | head
답변
grep sshd /var/log/audit/audit.log
답변
다음 /var/log/secure과 같이 기록됩니다
pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=xxx.xxx.xxx.xxx
Failed password for invalid user XXX from xxx.xxx.xxx.xxx