如何知道谁在 Ubuntu 中通过 ssh 命令远程访问我的计算机？

Question 1

sshd 将所有授权记录在中/var/log/auth.log。您可以通过执行检查登录信息 grep sshd /var/log/auth.log。输出将如下所示：

Jun  5 13:56:06 computer-name sshd[1582]: Accepted password for user from 10.0.2.2 port 41341 ssh2

但是，如果您确定您的系统已受到威胁，则这些日志不可信任。您需要立即更改密码，备份所有数据并重新安装系统。如果攻击者设法获得系统的 root 访问权限（因为您的用户拥有 sudo 权限或通过漏洞），则日志或任何可执行文件（甚至系统文件）都不可信任。唯一要做的就是从轨道上摧毁它。

Answer

sshd 将所有授权记录在中/var/log/auth.log。您可以通过执行检查登录信息 grep sshd /var/log/auth.log。输出将如下所示：

Jun  5 13:56:06 computer-name sshd[1582]: Accepted password for user from 10.0.2.2 port 41341 ssh2

但是，如果您确定您的系统已受到威胁，则这些日志不可信任。您需要立即更改密码，备份所有数据并重新安装系统。如果攻击者设法获得系统的 root 访问权限（因为您的用户拥有 sudo 权限或通过漏洞），则日志或任何可执行文件（甚至系统文件）都不可信任。唯一要做的就是从轨道上摧毁它。

Question 2

如果攻击者的 IP 是 192.168.8.345，那么他就在您的本地网络上。

由于他们是本地人，因此您将无法查明此人是谁或从哪里登录。

编辑：尝试此代码。

sudo ufw enable
sudo ufw block proto tcp from 192.168.8.345

Answer

如果攻击者的 IP 是 192.168.8.345，那么他就在您的本地网络上。

由于他们是本地人，因此您将无法查明此人是谁或从哪里登录。

编辑：尝试此代码。

sudo ufw enable
sudo ufw block proto tcp from 192.168.8.345

相关内容