Como descubro os logins SSH recentes do Centos e seu endereço IP?
16
Parece que alguém fez login no meu servidor de desenvolvimento com senha de root e destruiu bastante. Como verifico os logins recentes e seus endereços IP no Cent OS?
lastlog(8)relatará as informações mais recentes da /var/log/lastloginstalação, se você tiver pam_lastlog(8)configurado.
aulastlog(8)fará um relatório semelhante, mas a partir dos logs de auditoria /var/log/audit/audit.log. (Recomendado, pois os auditd(8)registros são mais difíceis de adulterar do que os syslog(3)registros.)
ausearch -c sshdprocurará nos logs de auditoria por relatórios do sshdprocesso.
last(8)pesquisará /var/log/wtmpos logins mais recentes. lastb(8)irá mostrar bad login attempts.
/root/.bash_history pode conter alguns detalhes, supondo que o goober que mexe com seu sistema seja incompetente o suficiente para não removê-lo antes de sair.
Verifique os ~/.ssh/authorized_keysarquivos de todos os usuários do sistema, verifique crontabs para garantir que nenhuma nova porta esteja programada para ser aberta em algum momento no futuro, etc. Embora você deva apenas reconstruir a máquina do zero , isso não faria mal dedicar tempo para aprender o que o atacante fez.
Observe que todos os logs armazenados na máquina local são suspeitos; os únicos logs em que você pode confiar realisticamente são encaminhados para outra máquina que não foi comprometida. Talvez valha a pena investigar o manuseio centralizado de logs via rsyslog(8)ou auditd(8)manuseio remoto da máquina.
Respostas:
lastlog(8)
relatará as informações mais recentes da/var/log/lastlog
instalação, se você tiverpam_lastlog(8)
configurado.aulastlog(8)
fará um relatório semelhante, mas a partir dos logs de auditoria/var/log/audit/audit.log
. (Recomendado, pois osauditd(8)
registros são mais difíceis de adulterar do que ossyslog(3)
registros.)ausearch -c sshd
procurará nos logs de auditoria por relatórios dosshd
processo.last(8)
pesquisará/var/log/wtmp
os logins mais recentes.lastb(8)
irá mostrarbad login attempts
./root/.bash_history
pode conter alguns detalhes, supondo que o goober que mexe com seu sistema seja incompetente o suficiente para não removê-lo antes de sair.Verifique os
~/.ssh/authorized_keys
arquivos de todos os usuários do sistema, verifiquecrontab
s para garantir que nenhuma nova porta esteja programada para ser aberta em algum momento no futuro, etc. Embora você deva apenas reconstruir a máquina do zero , isso não faria mal dedicar tempo para aprender o que o atacante fez.Observe que todos os logs armazenados na máquina local são suspeitos; os únicos logs em que você pode confiar realisticamente são encaminhados para outra máquina que não foi comprometida. Talvez valha a pena investigar o manuseio centralizado de logs via
rsyslog(8)
ouauditd(8)
manuseio remoto da máquina.fonte
Usar:
last | grep [username]
ou
fonte
fonte
veja
/var/log/secure
registrará comofonte