Es scheint, als hätte sich jemand mit dem root-Passwort auf meinem Dev-Server angemeldet und eine ganze Reihe von Zerstörungen angerichtet. Wie überprüfe ich die letzten Anmeldungen und deren IP-Adresse unter Cent OS?
Vielen Dank.
16
Antworten:
lastlog(8)meldet die neuesten Informationen aus der/var/log/lastlogEinrichtung, wenn Siepam_lastlog(8)konfiguriert haben.aulastlog(8)wird einen ähnlichen Bericht erstellen, der sich aber aus dem Audit anmeldet/var/log/audit/audit.log. (Empfohlen, daauditd(8)Datensätze schwerer zu manipulieren sind alssyslog(3)Datensätze.)ausearch -c sshdDurchsucht Ihre Überwachungsprotokolle nach Berichten aus demsshdProzess.last(8)sucht/var/log/wtmpnach den neuesten Logins.lastb(8)wird zeigenbad login attempts./root/.bash_historyMöglicherweise enthält es einige Details, vorausgesetzt, derjenige, der an Ihrem System herumgespielt hat, war inkompetent genug, um es vor dem Abmelden nicht zu entfernen.Stellen Sie sicher, dass Sie die
~/.ssh/authorized_keysDateien für alle Benutzer auf dem System überprüfen,crontabs überprüfen , um sicherzustellen, dass zu einem späteren Zeitpunkt keine neuen Ports mehr geöffnet werden sollen usw. Sie sollten den Computer eigentlich nur von Grund auf neu erstellen , es würde jedoch nicht schaden sich die Zeit zu nehmen, um zu erfahren, was der Angreifer getan hat.Beachten Sie, dass alle auf dem lokalen Computer gespeicherten Protokolle verdächtig sind. Die einzigen Protokolle, denen Sie realistisch vertrauen können, werden an einen anderen Computer weitergeleitet, der nicht kompromittiert wurde. Vielleicht lohnt es sich, die zentralisierte Protokollverarbeitung über
rsyslog(8)oder dieauditd(8)Remoteverarbeitung von Maschinen zu untersuchen .quelle
Verwenden:
last | grep [username]oder
quelle
quelle
siehe
/var/log/securewerde loggen wiequelle