似乎有人使用 root 密码登录了我的开发服务器并进行了大量的破坏。如何在 Cent OS 上检查最近的登录及其 IP 地址?
谢谢。
答案1
lastlog(8)将报告该设施的最新信息/var/log/lastlog(如果您已pam_lastlog(8)配置)。
aulastlog(8)将会生成类似的报告,但来自中的审计日志/var/log/audit/audit.log。(推荐,因为auditd(8)记录比记录更难篡改syslog(3)。)
ausearch -c sshd将搜索您的审计日志以查找来自该sshd流程的报告。
last(8)将搜索/var/log/wtmp最近的登录信息。lastb(8)将显示bad login attempts。
/root/.bash_history可能包含一些细节,假设摆弄你的系统的傻瓜不够称职,没有在注销前将其删除。
确保检查~/.ssh/authorized_keys文件全部用户在系统上,检查crontab以确保没有计划在未来某个时间点打开新的端口等。你真的应该从头开始重建机器,花点时间了解攻击者做了什么不会有什么坏处。
请注意,本地计算机上存储的所有日志都是可疑的;您唯一可以实际查看的日志是相信被转发到另一台未受损害的机器。也许值得研究通过集中日志处理rsyslog(8)或auditd(8)远程机器处理。
答案2
使用:
last | grep [username]
或者
last | head
答案3
grep sshd /var/log/audit/audit.log
答案4
看到/var/log/secure会记录类似
pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=xxx.xxx.xxx.xxx
Failed password for invalid user XXX from xxx.xxx.xxx.xxx