¿Cómo averiguo los inicios de sesión SSH recientes para Centos y su dirección IP?

Parece que alguien inició sesión en mi servidor de desarrollo con contraseña de root e hizo un montón de destrucción. ¿Cómo verifico los inicios de sesión recientes y su dirección IP en Cent OS?

Gracias.

lastlog(8)informará la información más reciente de la /var/log/lastloginstalación, si la ha pam_lastlog(8)configurado.

aulastlog(8)hará un informe similar, pero desde la auditoría inicia sesión /var/log/audit/audit.log. (Recomendado, ya que los auditd(8)registros son más difíciles de manipular que los syslog(3)registros).

ausearch -c sshdbuscará en sus registros de auditoría los informes del sshdproceso.

last(8)buscará /var/log/wtmplos inicios de sesión más recientes. lastb(8)mostrará bad login attempts.

/root/.bash_history podría contener algunos detalles, suponiendo que el experto que jugueteó con su sistema fuera lo suficientemente incompetente como para no eliminarlo antes de cerrar sesión.

Asegúrese de verificar los ~/.ssh/authorized_keysarchivos para todos los usuarios en el sistema, verifique crontabs para asegurarse de que no se programen nuevos puertos para abrirse en algún momento en el futuro, etc. Si bien realmente debería reconstruir la máquina desde cero , no dolería tomarse el tiempo para aprender lo que hizo el atacante.

Tenga en cuenta que todos los registros almacenados en la máquina local son sospechosos; los únicos registros en los que puede confiar de manera realista se envían a otra máquina que no se vio comprometida. Tal vez valdría la pena investigar la manipulación de troncos centralizada a través rsyslog(8)o auditd(8)manejo de la máquina remota.

Utilizar:

last | grep [username]

o

last | head 

grep sshd /var/log/audit/audit.log

ver /var/log/securese registrará como

pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=xxx.xxx.xxx.xxx
Failed password for invalid user XXX from xxx.xxx.xxx.xxx