linux如何获取ssh连接ip,如何找到Centos最近的SSH登录及其IP地址?
似乎有人用root密码登录了我的dev服务器,并做了一大堆破坏.如何在Cent OS上查看最近的登录名及其IP地址?谢谢.如果配置了pam_lastlog(8),lastlog(8)将报告/ var / log / lastlog工具中的最新信息.aulastlog(8)将生成类似的报告,但是来自/var/log/audit/audit.log中的审核日志. (推荐,因为auditd(8)记录比s
似乎有人用root密码登录了我的dev服务器,并做了一大堆破坏.如何在Cent OS上查看最近的登录名及其IP地址?
谢谢.
如果配置了pam_lastlog(8),lastlog(8)将报告/ var / log / lastlog工具中的最新信息.
aulastlog(8)将生成类似的报告,但是来自/var/log/audit/audit.log中的审核日志. (推荐,因为auditd(8)记录比syslog(3)记录更难篡改.)
ausearch -c sshd将在审核日志中搜索sshd进程的报告.
last(8)将在/ var / log / wtmp中搜索最近的登录信息. lastb(8)将显示错误的登录尝试.
/root/.bash_history可能包含一些细节,假设你的系统摆弄的goober无法胜任,无法在退出之前删除它.
确保检查系统上所有用户的〜/ .ssh / authorized_keys文件,检查crontabs以确保未来某个时间点没有安排打开新端口,等等.你真的应该从头开始重建机器,花时间去了解攻击者所做的事情并不会有什么坏处.
请注意,存储在本地计算机上的所有日志都是可疑的;您可以实际信任的唯一日志被转发到另一台未受到损害的计算机.也许值得研究通过rsyslog(8)或auditd(8)远程机器处理进行集中式日志处理.
更多推荐
1
0- 0
已为社区贡献1条内容
所有评论(0)