Как мне узнать последние SSH-логины для Centos и их IP-адреса?

16

Кажется, кто-то вошел в мой сервер dev с паролем root и сделал целую кучу разрушений. Как проверить последние логины и их IP-адреса в Cent OS?

Благодарю.


источник
1
было бы полезно взглянуть на следующие ссылки и проверить, правильно ли вы реагируете на проблему: serverfault.com/q/218005/118677 , serverfault.com/a/107346/118677
Андрей Сапегин

Ответы:

26

lastlog(8)сообщит самую последнюю информацию от /var/log/lastlogобъекта, если вы pam_lastlog(8)настроили.

aulastlog(8)сделает аналогичный отчет, но из журнала аудита войдет /var/log/audit/audit.log. (Рекомендуется, поскольку auditd(8)записи труднее подделать, чем syslog(3)записи.)

ausearch -c sshdбудет искать в ваших журналах аудита отчеты о sshdпроцессе.

last(8)будет искать /var/log/wtmpсамые последние входы в систему. lastb(8)покажет bad login attempts.

/root/.bash_history может содержать некоторые детали, если предположить, что goober, который возился с вашей системой, был недостаточно компетентен, чтобы не удалить его перед выходом из системы.

Убедитесь, что вы проверили ~/.ssh/authorized_keysфайлы для всех пользователей в системе, проверьте crontabs, чтобы убедиться, что новые порты не планируется открывать в будущем, и т. Д. Хотя вам действительно нужно просто восстановить машину с нуля , это не повредит найти время, чтобы узнать, что сделал злоумышленник.

Обратите внимание, что все журналы, хранящиеся на локальном компьютере, являются подозрительными; единственные журналы, которым вы действительно можете доверять , пересылаются на другую машину, которая не была взломана. Возможно , это стоило бы расследовать централизованную обработку журнала с помощью rsyslog(8)или auditd(8)удаленной обработки машины.

sarnold
источник
9

Использование:

last | grep [username]

или

last | head 
Afshin
источник
0

см /var/log/secureбудет войти как

pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=xxx.xxx.xxx.xxx
Failed password for invalid user XXX from xxx.xxx.xxx.xxx
ewwink
источник