Bagaimana cara mengetahui login SSH terbaru untuk Centos dan alamat IP mereka?

Tampaknya seseorang masuk ke server dev saya dengan kata sandi root dan melakukan sejumlah perusakan. Bagaimana cara memeriksa login terbaru dan alamat IP-nya di Cent OS?

Terima kasih.

lastlog(8)akan melaporkan informasi terbaru dari /var/log/lastlogfasilitas, jika Anda telah pam_lastlog(8)mengkonfigurasi.

aulastlog(8)akan membuat laporan serupa, tetapi dari audit masuk /var/log/audit/audit.log. (Disarankan, karena auditd(8)catatan lebih sulit untuk dirusak daripada syslog(3)catatan.)

ausearch -c sshdakan mencari laporan audit Anda dari sshdproses.

last(8)akan mencari /var/log/wtmpinfo masuk terbaru. lastb(8)akan ditampilkan bad login attempts.

/root/.bash_history mungkin berisi beberapa detail, dengan asumsi goober yang mengutak-atik sistem Anda tidak cukup kompeten untuk tidak menghapusnya sebelum logout.

Pastikan Anda memeriksa ~/.ssh/authorized_keysfile untuk semua pengguna pada sistem, periksa crontabuntuk memastikan tidak ada port baru yang dijadwalkan akan dibuka di beberapa titik di masa depan, dll. Meskipun Anda benar-benar harus hanya membangun kembali mesin dari awal , tidak ada salahnya meluangkan waktu untuk mempelajari apa yang dilakukan penyerang.

Perhatikan bahwa semua log yang disimpan pada mesin lokal dicurigai; satu-satunya log yang bisa Anda percayai secara realistis diteruskan ke komputer lain yang tidak dikompromikan. Mungkin ada baiknya menyelidiki penanganan log terpusat melalui rsyslog(8)atau auditd(8)penanganan mesin jarak jauh.

Menggunakan:

last | grep [username]

atau

last | head 

grep sshd /var/log/audit/audit.log

lihat /var/log/secureakan login seperti

pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=xxx.xxx.xxx.xxx
Failed password for invalid user XXX from xxx.xxx.xxx.xxx