누군가가 루트 비밀번호로 내 dev 서버에 로그인 한 것으로 보이며 완전히 파괴되었습니다. Cent OS에서 최근 로그인 및 IP 주소를 어떻게 확인합니까?
감사.
누군가가 루트 비밀번호로 내 dev 서버에 로그인 한 것으로 보이며 완전히 파괴되었습니다. Cent OS에서 최근 로그인 및 IP 주소를 어떻게 확인합니까?
감사.
답변:
lastlog(8)
구성한 /var/log/lastlog
경우 시설의 최신 정보를보고합니다 pam_lastlog(8)
.
aulastlog(8)
비슷한 보고서를 작성하지만의 감사 로그에서 작성 /var/log/audit/audit.log
합니다. ( auditd(8)
레코드가 syslog(3)
레코드 보다 무단 변경 되기 때문에 권장됩니다 .)
ausearch -c sshd
sshd
프로세스 에서 보고서에 대한 감사 로그를 검색합니다 .
last(8)
/var/log/wtmp
최신 로그인을 검색 합니다. lastb(8)
표시 bad login attempts
됩니다.
/root/.bash_history
로그 아웃하기 전에 시스템을 피들 링 한 쿠버가이를 제거 할 수 없을 정도로 무능하다고 가정하면 세부 사항이 포함될 수 있습니다.
당신이 확인 확인 ~/.ssh/authorized_keys
을 위해 파일을 모든 사용자 시스템, 검사 crontab
의 확신 새로운 포트 상태 등 미래의 어떤 시점에서 열릴 예정하려면 당신은 정말 처음부터 시스템을 재 구축해야한다 , 그것은 상처 않을 것 공격자가 무엇을했는지 배우기 위해
로컬 머신에 저장된 모든 로그는 의심스러운 것입니다. 실제로 신뢰할 수있는 유일한 로그 는 손상되지 않은 다른 컴퓨터로 전달됩니다. 아마도 그것은을 통해 중앙 집중식 로그 처리 조사 가치가있을 것 rsyslog(8)
또는 auditd(8)
원격 시스템의 처리.