20 centos
似乎有人使用 root 密码登录我的开发服务器并进行了大量破坏。如何在 Cent OS 上检查最近的登录名及其 IP 地址?
谢谢。
sar*_*old 29
lastlog(8)将报告来自/var/log/lastlog设施的最新信息(如果您已pam_lastlog(8)配置)。
aulastlog(8)将做出类似的报告,但来自/var/log/audit/audit.log. (推荐,因为auditd(8)记录比syslog(3)记录更难篡改。)
ausearch -c sshd将在您的审核日志中搜索该sshd过程的报告。
last(8)将搜索/var/log/wtmp最近的登录。lastb(8)会显示bad login attempts。
/root/.bash_history 可能包含一些详细信息,假设摆弄您系统的 goober 不够称职,无法在注销之前将其删除。
确保你检查系统上所有用户的~/.ssh/authorized_keys文件,检查s 以确保没有新的端口被安排在未来的某个时候打开,等等。虽然你真的应该从头开始重建机器,但它不会受到伤害花时间了解攻击者做了什么。crontab
请注意,存储在本地机器上的所有日志都是可疑的;您可以真正信任的唯一日志被转发到另一台没有受到损害的机器。也许值得研究通过rsyslog(8)或auditd(8)远程机器处理的集中日志处理。
| 归档时间: |
|
| 查看次数: |
68454 次 |
| 最近记录: |