Comment connaître les connexions SSH récentes pour Centos et leur adresse IP?


16

Il semble que quelqu'un s'est connecté à mon serveur de développement avec le mot de passe root et a fait tout un tas de destructions. Comment vérifier les connexions récentes et leur adresse IP sur Cent OS?

Merci.

centos 

1
il pourrait être utile de jeter un œil sur les liens suivants et de vérifier si vous réagissez correctement sur le problème: serverfault.com/q/218005/118677 , serverfault.com/a/107346/118677
Andrey Sapegin

Réponses:


26

lastlog(8)rapportera les informations les plus récentes de l' /var/log/lastloginstallation, si vous avez pam_lastlog(8)configuré.

aulastlog(8)fera un rapport similaire, mais à partir des connexions d'audit /var/log/audit/audit.log. (Recommandé, car les auditd(8)enregistrements sont plus difficiles à falsifier que les syslog(3)enregistrements.)

ausearch -c sshdrecherchera dans vos journaux d'audit les rapports du sshdprocessus.

last(8)recherchera /var/log/wtmples connexions les plus récentes. lastb(8)montrera bad login attempts.

/root/.bash_history peut contenir certains détails, en supposant que le goober qui a manipulé votre système était suffisamment incompétent pour ne pas le supprimer avant de vous déconnecter.

Assurez-vous de vérifier les ~/.ssh/authorized_keysfichiers pour tous les utilisateurs sur le système, vérifier crontabs pour vous assurer qu'aucun de nouveaux ports devraient être ouverts à un moment donné à l'avenir, etc. Alors que vous devriez vraiment reconstruire la machine à partir de zéro , il ne serait pas mal pour prendre le temps d'apprendre ce que l'attaquant a fait.

Notez que tous les journaux stockés sur la machine locale sont suspects; les seuls journaux auxquels vous pouvez réellement vous fier sont transférés vers une autre machine qui n'a pas été compromise. Peut-être vaudrait-il la peine d'étudier la gestion centralisée des journaux via rsyslog(8)ou auditd(8)la manipulation à distance des machines.


9

Utilisation:

last | grep [username]

ou

last | head 


0

voir /var/log/securese connectera comme

pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=xxx.xxx.xxx.xxx
Failed password for invalid user XXX from xxx.xxx.xxx.xxx
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.