Comment connaître les connexions SSH récentes pour Centos et leur adresse IP?

Il semble que quelqu'un s'est connecté à mon serveur de développement avec le mot de passe root et a fait tout un tas de destructions. Comment vérifier les connexions récentes et leur adresse IP sur Cent OS?

Merci.

lastlog(8)rapportera les informations les plus récentes de l' /var/log/lastloginstallation, si vous avez pam_lastlog(8)configuré.

aulastlog(8)fera un rapport similaire, mais à partir des connexions d'audit /var/log/audit/audit.log. (Recommandé, car les auditd(8)enregistrements sont plus difficiles à falsifier que les syslog(3)enregistrements.)

ausearch -c sshdrecherchera dans vos journaux d'audit les rapports du sshdprocessus.

last(8)recherchera /var/log/wtmples connexions les plus récentes. lastb(8)montrera bad login attempts.

/root/.bash_history peut contenir certains détails, en supposant que le goober qui a manipulé votre système était suffisamment incompétent pour ne pas le supprimer avant de vous déconnecter.

Assurez-vous de vérifier les ~/.ssh/authorized_keysfichiers pour tous les utilisateurs sur le système, vérifier crontabs pour vous assurer qu'aucun de nouveaux ports devraient être ouverts à un moment donné à l'avenir, etc. Alors que vous devriez vraiment reconstruire la machine à partir de zéro , il ne serait pas mal pour prendre le temps d'apprendre ce que l'attaquant a fait.

Notez que tous les journaux stockés sur la machine locale sont suspects; les seuls journaux auxquels vous pouvez réellement vous fier sont transférés vers une autre machine qui n'a pas été compromise. Peut-être vaudrait-il la peine d'étudier la gestion centralisée des journaux via rsyslog(8)ou auditd(8)la manipulation à distance des machines.

Utilisation:

last | grep [username]

ou

last | head 

grep sshd /var/log/audit/audit.log

voir /var/log/securese connectera comme

pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=xxx.xxx.xxx.xxx
Failed password for invalid user XXX from xxx.xxx.xxx.xxx