Jak znaleźć najnowsze dane logowania SSH dla Centos i ich adresów IP?

Wygląda na to, że ktoś zalogował się na moim serwerze deweloperskim przy użyciu hasła roota i dokonał wielu zniszczeń. Jak sprawdzić najnowsze dane logowania i ich adresy IP w Cent OS?

Dzięki.

lastlog(8)zgłosi najnowsze informacje z /var/log/lastlogobiektu, jeśli pam_lastlog(8)skonfigurowałeś.

aulastlog(8)zrobi podobny raport, ale z dzienników kontroli loguje się /var/log/audit/audit.log. (Zalecane, ponieważ auditd(8)trudniej manipulować syslog(3)zapisami niż zapisami).

ausearch -c sshdprzeszukuje twoje dzienniki kontroli pod kątem raportów z sshdprocesu.

last(8)przeszuka /var/log/wtmpnajnowsze dane logowania. lastb(8)pokaże bad login attempts.

/root/.bash_history może zawierać pewne szczegóły, zakładając, że goober, który majstrował przy twoim systemie, był na tyle niekompetentny, aby nie usunąć go przed wylogowaniem.

Upewnij się, że sprawdzasz ~/.ssh/authorized_keyspliki dla wszystkich użytkowników w systemie, zaznacz crontabs, aby upewnić się, że żadne nowe porty nie zostaną otwarte w przyszłości itp. Chociaż naprawdę powinieneś po prostu odbudować maszynę od zera , nie zaszkodzi poświęcić czas, aby dowiedzieć się, co zrobił napastnik.

Należy pamiętać, że wszystkie dzienniki przechowywane na komputerze lokalnym są podejrzane; jedyne logi, którym możesz zaufać, są przekazywane na inną maszynę, która nie została naruszona. Być może warto zbadać scentralizowaną obsługę dzienników za pośrednictwem rsyslog(8)lub auditd(8)zdalnej obsługi maszyn.

Posługiwać się:

last | grep [username]

lub

last | head 

grep sshd /var/log/audit/audit.log

zobacz /var/log/securebędzie logować się jak

pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=xxx.xxx.xxx.xxx
Failed password for invalid user XXX from xxx.xxx.xxx.xxx