Il semble que quelqu'un s'est connecté à mon serveur de développement avec le mot de passe root et a fait tout un tas de destructions. Comment vérifier les connexions récentes et leur adresse IP sur Cent OS?
Merci.
Il semble que quelqu'un s'est connecté à mon serveur de développement avec le mot de passe root et a fait tout un tas de destructions. Comment vérifier les connexions récentes et leur adresse IP sur Cent OS?
Merci.
Réponses:
lastlog(8)
rapportera les informations les plus récentes de l' /var/log/lastlog
installation, si vous avez pam_lastlog(8)
configuré.
aulastlog(8)
fera un rapport similaire, mais à partir des connexions d'audit /var/log/audit/audit.log
. (Recommandé, car les auditd(8)
enregistrements sont plus difficiles à falsifier que les syslog(3)
enregistrements.)
ausearch -c sshd
recherchera dans vos journaux d'audit les rapports du sshd
processus.
last(8)
recherchera /var/log/wtmp
les connexions les plus récentes. lastb(8)
montrera bad login attempts
.
/root/.bash_history
peut contenir certains détails, en supposant que le goober qui a manipulé votre système était suffisamment incompétent pour ne pas le supprimer avant de vous déconnecter.
Assurez-vous de vérifier les ~/.ssh/authorized_keys
fichiers pour tous les utilisateurs sur le système, vérifier crontab
s pour vous assurer qu'aucun de nouveaux ports devraient être ouverts à un moment donné à l'avenir, etc. Alors que vous devriez vraiment reconstruire la machine à partir de zéro , il ne serait pas mal pour prendre le temps d'apprendre ce que l'attaquant a fait.
Notez que tous les journaux stockés sur la machine locale sont suspects; les seuls journaux auxquels vous pouvez réellement vous fier sont transférés vers une autre machine qui n'a pas été compromise. Peut-être vaudrait-il la peine d'étudier la gestion centralisée des journaux via rsyslog(8)
ou auditd(8)
la manipulation à distance des machines.