lastlog(8)сообщит самую последнюю информацию от /var/log/lastlogобъекта, если вы pam_lastlog(8)настроили.
aulastlog(8)сделает аналогичный отчет, но из журнала аудита войдет /var/log/audit/audit.log. (Рекомендуется, поскольку auditd(8)записи труднее подделать, чем syslog(3)записи.)
ausearch -c sshdбудет искать в ваших журналах аудита отчеты о sshdпроцессе.
last(8)будет искать /var/log/wtmpсамые последние входы в систему. lastb(8)покажет bad login attempts.
/root/.bash_history может содержать некоторые детали, если предположить, что goober, который возился с вашей системой, был недостаточно компетентен, чтобы не удалить его перед выходом из системы.
Убедитесь, что вы проверили ~/.ssh/authorized_keysфайлы для всех пользователей в системе, проверьте crontabs, чтобы убедиться, что новые порты не планируется открывать в будущем, и т. Д. Хотя вам действительно нужно просто восстановить машину с нуля , это не повредит найти время, чтобы узнать, что сделал злоумышленник.
Обратите внимание, что все журналы, хранящиеся на локальном компьютере, являются подозрительными; единственные журналы, которым вы действительно можете доверять , пересылаются на другую машину, которая не была взломана. Возможно , это стоило бы расследовать централизованную обработку журнала с помощью rsyslog(8)или auditd(8)удаленной обработки машины.
Ответы:
lastlog(8)
сообщит самую последнюю информацию от/var/log/lastlog
объекта, если выpam_lastlog(8)
настроили.aulastlog(8)
сделает аналогичный отчет, но из журнала аудита войдет/var/log/audit/audit.log
. (Рекомендуется, посколькуauditd(8)
записи труднее подделать, чемsyslog(3)
записи.)ausearch -c sshd
будет искать в ваших журналах аудита отчеты оsshd
процессе.last(8)
будет искать/var/log/wtmp
самые последние входы в систему.lastb(8)
покажетbad login attempts
./root/.bash_history
может содержать некоторые детали, если предположить, что goober, который возился с вашей системой, был недостаточно компетентен, чтобы не удалить его перед выходом из системы.Убедитесь, что вы проверили
~/.ssh/authorized_keys
файлы для всех пользователей в системе, проверьтеcrontab
s, чтобы убедиться, что новые порты не планируется открывать в будущем, и т. Д. Хотя вам действительно нужно просто восстановить машину с нуля , это не повредит найти время, чтобы узнать, что сделал злоумышленник.Обратите внимание, что все журналы, хранящиеся на локальном компьютере, являются подозрительными; единственные журналы, которым вы действительно можете доверять , пересылаются на другую машину, которая не была взломана. Возможно , это стоило бы расследовать централизованную обработку журнала с помощью
rsyslog(8)
илиauditd(8)
удаленной обработки машины.источник
Использование:
last | grep [username]
или
источник
источник
см
/var/log/secure
будет войти какисточник