Comment connaître les connexions SSH récentes pour Centos et leur adresse IP?
Il semble que quelqu'un s'est connecté à mon serveur de développement avec le mot de passe root et a fait tout un tas de destructions. Comment vérifier les connexions récentes et leur adresse IP sur Cent OS?
Merci.
lastlog(8) rapportera les informations les plus récentes de l'installation /var/log/lastlog, Si vous avez configuré pam_lastlog(8).
aulastlog(8) fera un rapport similaire, mais à partir des journaux d'audit dans /var/log/audit/audit.log. (Recommandé, car les enregistrements auditd(8) sont plus difficiles à falsifier que les enregistrements syslog(3).)
ausearch -c sshd Recherchera dans vos journaux d'audit les rapports du processus sshd.
last(8) recherchera dans /var/log/wtmp Les connexions les plus récentes. lastb(8) affichera bad login attempts.
/root/.bash_history Peut contenir certains détails, en supposant que le goober qui a manipulé votre système était suffisamment incompétent pour ne pas le supprimer avant de se déconnecter.
Assurez-vous de vérifier les fichiers ~/.ssh/authorized_keys Pour tous les utilisateurs sur le système, vérifiez crontabs pour vous assurer qu'aucun nouveau port n'est devrait être ouvert à un moment donné dans le futur, etc. Bien que vous devriez vraiment reconstruire la machine à partir de zéro, cela ne ferait pas de mal de prendre le temps d'apprendre ce que l'attaquant a fait.
Notez que tous les journaux stockés sur la machine locale sont suspects; les seuls journaux auxquels vous pouvez réellement faire confiance sont transférés vers une autre machine qui n'a pas été compromise. Il serait peut-être utile d'étudier la gestion centralisée des journaux via rsyslog(8) ou auditd(8) la gestion à distance de la machine.
Utilisation:
last | grep [username]
ou
last | head
grep sshd /var/log/audit/audit.log
voir /var/log/secure se connectera comme
pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=xxx.xxx.xxx.xxx
Failed password for invalid user XXX from xxx.xxx.xxx.xxx