我从上周开始管理一个 Debian 服务器。它以前有另一个管理员。

我推测它已被黑客入侵：可能通过 SFTP 读取文件以获取有关我提到的服务器上托管的站点的信息，然后通过 PhpMyAdmin 从数据库中删除表。

我打算放弃，因为 phpmyadmin 默认不记录活动，SFTP 也不记录。服务器的 SFTP 活动和 phpmyadmin 未配置为将数据输出到日志文件。

这位可信的“黑客”犯了一个错误，他通过 SSH 多次以我不认识的用户身份访问服务器！但是我无法跟踪更多活动，因为他/她非常小心，只导航到托管网站的文件夹（直接导航，甚至没有翻看文件，所以他显然知道服务器），其余活动都是通过 phpmyadmin 和 SFTP 进行的。

您可能已经意识到，服务器上没有多少人知道这个用户，因为他不是 root，而且我知道他的 IP 地址，但我们都知道这不会有太大帮助。

当以其他用户身份登录时，他在服务器上所做的一切就是cd进入网站所在的目录，在那里创建一个名为“m”的目录，仅此而已；“m”目录被删除了，它不是我使用终端删除的，也不是入侵者删除的。

该文件/etc/ssh/sshd_config现已配置为跟踪活动并可以运行，但不幸的是，当然有点太晚了。

history除了通过 SSH 执行以该用户身份登录的命令之外，您能否帮助我找到一种跟踪 SFTP 活动的方法或任何其他跟踪特定服务器用户活动的方法？谢谢！