Come faccio a scoprire i recenti accessi SSH per Centos e il loro indirizzo IP?

Sembra che qualcuno abbia effettuato l'accesso al mio server di sviluppo con la password di root e abbia fatto un sacco di distruzione. Come posso controllare gli accessi recenti e il loro indirizzo IP sul sistema operativo Cent?

Grazie.

lastlog(8)segnalerà le informazioni più recenti dalla /var/log/lastlogstruttura, se sono state pam_lastlog(8)configurate.

aulastlog(8)farà un rapporto simile, ma dai log di controllo in /var/log/audit/audit.log. (Consigliato, poiché i auditd(8)record sono più difficili da manomettere rispetto ai syslog(3)record.)

ausearch -c sshdcercherà nei log di controllo i report del sshdprocesso.

last(8)cercherà /var/log/wtmpgli accessi più recenti. lastb(8)mostrerà bad login attempts.

/root/.bash_history potrebbe contenere alcuni dettagli, supponendo che il goober che ha armeggiato con il sistema fosse abbastanza incompetente da non rimuoverlo prima di disconnettersi.

Assicurati di controllare i ~/.ssh/authorized_keysfile per tutti gli utenti sul sistema, controlla crontabs per assicurarti che nessuna nuova porta sia programmata per essere aperta ad un certo punto in futuro, ecc. Mentre dovresti davvero ricostruire la macchina da zero , non farebbe male per prendere il tempo per imparare cosa ha fatto l'attaccante.

Si noti che tutti i registri memorizzati sul computer locale sono sospetti; gli unici registri di cui puoi fidarti realisticamente vengono inoltrati a un altro computer che non è stato compromesso. Forse varrebbe la pena indagare sulla gestione centralizzata dei registri tramite rsyslog(8)o auditd(8)la gestione remota della macchina.

Uso:

last | grep [username]

o

last | head 

grep sshd /var/log/audit/audit.log

vedi /var/log/secureregistrerà come

pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=xxx.xxx.xxx.xxx
Failed password for invalid user XXX from xxx.xxx.xxx.xxx