我的 /var/log/auth.log 包含很多行,例如
"reverse mapping checking getaddrinfo for
224.51.174.61.dial.wz.zj.dynamic.163data.com.cn [61.174.51.224] failed -
POSSIBLE BREAK-IN ATTEMPT!"
"Failed password for root from 61.174.51.224 port 4227 ssh2"
"reverse mapping checking getaddrinfo for
187-101-166-232.dsl.telesp.net.br [187.101.166.232] failed -
POSSIBLE BREAK-IN ATTEMPT!"
"Invalid user Admin from 187.101.166.232"
这些我可以看出黑客未能攻破。
但不幸的是我还看到一些日志,例如
Successful su for xxxxxx (my username) by root
我的愚蠢问题是:
- 从 auth.log 中,我如何知道“成功的 su”是我执行的,而不是可能获取了我的登录信息的黑客执行的?
- 如何过滤 auth.log 文件,以便简明扼要地报告哪个用户成功登录、登录了多长时间以及从哪里登录? IP 地址确实在 auth.log 文件中,但很难看出他们是否真的成功入侵。
- 是否有日志文件可以检查黑客做了什么?
谢谢您的启发。
答案1
1)从 auth.log 中,我如何知道“成功的 su”是我执行的,而不是可能获取了我的登录信息的黑客执行的?
这会破坏日志文件的意义。你的系统如何知道成功执行 su 的是黑客?
2)如何过滤 auth.log 文件,以便简洁地报告哪个用户成功登录、登录了多长时间以及从哪里登录?
这就是该程序的用途。它解析包含此信息的last文件/var/log/wmtp和。请参阅:/var/log/utmp
user@host:~$ last
root pts/0 1.2.3.4 Fri Apr 4 07:59 still logged in
root pts/5 1.2.3.4 Wed Apr 2 15:58 - 17:00 (01:02)
root pts/0 1.2.3.4 Wed Apr 2 07:39 - 16:15 (08:36)
root pts/0 1.2.3.4 Tue Apr 1 07:39 - 16:00 (08:20)
此外,您还可以使用以下选项解析较旧的wtmp文件:。utmp-flast -f /var/log/wtmp.1
3)是否有日志文件可以检查黑客做了什么?
参见问题 1)。当黑客获得对您系统的访问权限时,这表示身份验证成功。因此系统不知道这是黑客。您所能做的就是搜索/var/log/*痕迹。
答案2
您可以使用以下命令简单地分析文件 auth.log:
cat /var/log/auth.log | grep "Successful"
查看成功的尝试
上述命令输出 /var/log/auth.log 中包含单词 Successful 的所有行,或者您可以更改表达式,即“Failed password”,以查看失败的登录尝试。
所以现在,您可以检查成功的登录并查看任何不是您的 IP。