it-swarm.com.de

Wie finde ich die letzten SSH-Anmeldungen für Centos und deren IP-Adresse heraus?

Es scheint, dass sich jemand mit einem Root-Passwort bei meinem Entwickler-Server angemeldet und eine ganze Reihe von Zerstörungen angerichtet hat. Wie überprüfe ich die letzten Anmeldungen und deren IP-Adresse unter Cent OS?

Vielen Dank.

18
George Smith

lastlog(8) meldet die neuesten Informationen aus der Funktion /var/log/lastlog, wenn Sie pam_lastlog(8) konfiguriert haben.

aulastlog(8) erstellt einen ähnlichen Bericht, jedoch aus den Überwachungsprotokollen in /var/log/audit/audit.log. (Empfohlen, da auditd(8) Datensätze schwerer zu manipulieren sind als syslog(3) Datensätze.)

ausearch -c sshd Durchsucht Ihre Überwachungsprotokolle nach Berichten aus dem Prozess sshd.

last(8) durchsucht /var/log/wtmp nach den neuesten Anmeldungen. lastb(8) zeigt bad login attempts an.

/root/.bash_history Enthält möglicherweise einige Details, vorausgesetzt, der Goober, der an Ihrem System herumgespielt hat, war inkompetent genug, um es vor dem Abmelden nicht zu entfernen.

Stellen Sie sicher, dass Sie ~/.ssh/authorized_keys - Dateien auf alle Benutzer im System überprüfen. Überprüfen Sie crontabs, um sicherzustellen, dass keine neuen Ports vorhanden sind geplant, um irgendwann in der Zukunft geöffnet zu werden usw. Während Sie sollten die Maschine wirklich nur von Grund auf neu erstellen, würde es nicht schaden, sich die Zeit zu nehmen, um zu erfahren, was der Angreifer getan hat.

Beachten Sie, dass alle auf dem lokalen Computer gespeicherten Protokolle verdächtig sind. Die einzigen Protokolle, denen Sie realistisch vertrauen können , werden an einen anderen Computer weitergeleitet, der nicht kompromittiert wurde. Vielleicht lohnt es sich, die zentralisierte Protokollverarbeitung über rsyslog(8) oder auditd(8) Remote-Maschinenverarbeitung zu untersuchen.

27
sarnold

Verwenden:

last | grep [username]

oder

last | head 
10
afshin
grep sshd /var/log/audit/audit.log
7
linuts

sehen /var/log/secure wird wie protokollieren

pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=xxx.xxx.xxx.xxx
Failed password for invalid user XXX from xxx.xxx.xxx.xxx
0
ewwink