有人用我的密码访问我的电脑,我想知道谁通过 ssh 登录了我的系统[电子邮件保护],我想知道那个ip怎么追踪呢。
答案1
sshd 将所有授权记录在 中/var/log/auth.log
。您可以通过执行 检查登录信息
grep sshd /var/log/auth.log
。输出将如下所示:
Jun 5 13:56:06 computer-name sshd[1582]: Accepted password for user from 10.0.2.2 port 41341 ssh2
但是,如果您确定您的系统已受到威胁,则这些日志不可信任。您需要立即更改密码,备份所有数据并重新安装系统。如果攻击者设法获得系统的 root 访问权限(因为您的用户拥有 sudo 权限或通过漏洞),则日志或任何可执行文件(甚至系统文件)都不可信任。唯一要做的就是从轨道上摧毁它。
答案2
如果攻击者的 IP 是 192.168.8.345,那么他就在您的本地网络上。
- 将您的路由器更改为 WPA2 加密并更改路由器登录信息
- 将电脑上的密码更改为更复杂的密码
由于他们是本地人,因此您将无法查明此人是谁或从哪里登录。
编辑:尝试此代码。
sudo ufw enable
sudo ufw block proto tcp from 192.168.8.345