だれかがrootパスワードで私の開発サーバーにログインし、大量の破壊を行ったようです。Cent OSで最近のログインとそのIPアドレスを確認するにはどうすればよいですか?
ありがとう。
回答:
lastlog(8)設定した/var/log/lastlog場合、施設からの最新情報を報告しpam_lastlog(8)ます。
aulastlog(8)同様のレポートを作成しますが、監査ログから/var/log/audit/audit.log。(auditd(8)レコードはレコードよりも改ざんが難しいため、推奨されsyslog(3)ます。)
ausearch -c sshdsshdプロセスからのレポートの監査ログを検索します。
last(8)/var/log/wtmp最新のログインを検索します。lastb(8)が表示されbad login attemptsます。
/root/.bash_history あなたのシステムをいじったグーバーがログアウトする前にそれを削除するのに十分な能力がないと仮定すると、いくつかの詳細が含まれる場合があります。
システム上のすべてのユーザーの~/.ssh/authorized_keysファイルを確認し、sをチェックして、将来のある時点で新しいポートが開かれる予定がないことを確認してください。マシンをゼロから再構築する必要がありますが、害はありません。攻撃者が何をしたかを学ぶのに時間をかける。crontab
ローカルマシンに保存されているすべてのログは疑わしいことに注意してください。現実的に信頼できる唯一のログは、侵害されていない別のマシンに転送されます。おそらく、一元化されたログ処理rsyslog(8)またはauditd(8)リモートマシン処理を調査する価値があるでしょう。