kto logowa
kto logował się przez SSH
Mam podejrzenie, ze ktoś zdobył hasło na jednego z użytkowników i poprzez SSH logował się na serwer.
Czy jest możliwość sprawdzenia z jakiego IP i kiedy odbywały się logowania na serwer?
Czy jest możliwość sprawdzenia z jakiego IP i kiedy odbywały się logowania na serwer?
-
- Beginner
- Posty: 181
- Rejestracja: 06 grudnia 2008, 17:55
Wpisz w konsoli powinna pojawic sie lista logowan wraz z IP
szukaj takich wpisow
Kod: Zaznacz cały
last
Kod: Zaznacz cały
jakisuser pts/4 chello08907919xx Mon Mar 30 22:11 - 22:53 (00:42)
jakisuser pts/1 chello08907919xx Mon Mar 30 21:59 - 22:01 (00:01)
Kod: Zaznacz cały
Wpisz w konsoli powinna pojawic sie lista logowan wraz z IP
Kod:
last
-
- Beginner
- Posty: 181
- Rejestracja: 06 grudnia 2008, 17:55
Powinny byc logi w /var/log/auth.log
takich kwiatkow szukaj
takich kwiatkow szukaj
Mar 30 20:31:37 loel sshd[6954]: User root from 2072593582.ddns.onlinedirect.bg not allowed because not listed in AllowUsers
Mar 30 20:31:37 loel sshd[6955]: input_userauth_request: invalid user root
Mar 30 20:31:37 loel sshd[6954]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=2072593582.ddns.onlinedirect.bg user=root
Spójrz do pliku
Domyślnie logi auth.log rotowane są co tydzień i usuwane po czterech rotowaniach - oprócz aktualnego pliku będziesz miał cztery archiwalne. Ale sprawdź dla pewności jak to jest u Ciebie skonfigurowane.
Kod: Zaznacz cały
/etc/logrotate.d/rsyslog