LINUX.ORG.RU

как узнать ip входившего по ssh?

 ,


0

2

здравствуйте

есть сервер с дебиан 7 и надо узнать, заходил на него кто-то или нет, так как есть подозрение об утечке рут доступа

где в системе он мог засветиться? где-то сохраняются ип адреса входивших по ssh?

Ответ на: комментарий от ktk

Если у злоумышленника уже есть рут, то это не поможет. Единственный вариант это ставить систему с нуля

at ★★
()

обычно логи пишутся в /var/log/auth.log

Harald ★★★★★
()
Ответ на: комментарий от ktk

Я думаю если его скомпрометировали, то найти будет сложновато, обычно следы за собой подчищают, хотя попробовать можно. На будущее могу посоветовать отправку сообщений на почту по логину.

pavel38
()
Ответ на: комментарий от at

Если у злоумышленника уже есть рут, то это не поможет. Единственный вариант это ставить систему с нуля

ну это само собой что не поможет. а вот про - «с нуля» не согласен категорически, достаточно контрольные суммы проверить и восстановить измененные файлы ну и слегка упороться по восстановлению картины проишедшего.

ktk ★★★★
()
Ответ на: комментарий от anonymous

etc как и все конфиги по уму нужно в mercurial/git и т.д хранить.

/tmp, /var/tmp и т.д. вычищать, на остальные не связанные с бинарниками каталоги делать noexec.

ktk ★★★★
()
Ответ на: комментарий от ktk

Мне проще переставить систему, чем считать контрольные суммы и т.д. Конфиги готовые, надо просто поставить пакеты из заранее известного списка

at ★★
()
Ответ на: комментарий от at

Мне проще переставить систему, чем считать контрольные суммы и т.д. Конфиги готовые, надо просто поставить пакеты из заранее известного списка

ну да. случаи бывают разные, твой вариант тоже имеет право на жизнь.

ktk ★★★★
()
14 июля 2015 г.

Файл /var/log/wtmp хранит информацию по сеансам, если его не поправил злоумышленник.

Прочитать его можно например таким скриптом:

#!/bin/bash

perl -we '

@type=("Empty","Run Lvl","Boot","New Time","Old Time","Init","Login","Normal","Term","Account");
$recs = ""; while (<>) {$recs .= $_};
foreach (split(/(.{384})/s,$recs)) {next if length($_) == 0;

my ($type,$pid,$line,$inittab,$user,$host,$t1,$t2,$t3,$t4,$t5) = $_ =~/(.{4})(.{4})(.{32})(.{4})(.{32})(.{256})(.{4})(.{4})(.{4})(.{4})(.{4})/s;
if (defined $line && $line =~ /\w/) {$line =~ s/\x00+//g;$host =~ s/\x00+//g;$user =~ s/\x00+//g;
printf("%s %-8s %-12s %10s %-45s \n",scalar(gmtime(unpack("I4",$t3))),$type,$user,$line,$host)}}print"\n"

' < /var/log/wtmp

Актуально запретить вход по ssh от имени root, а команды запускать используя sudo.

ladserg
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.