lastlog(8)/var/log/lastlogयदि आपने pam_lastlog(8)कॉन्फ़िगर किया है, तो सुविधा से सबसे हाल की जानकारी की रिपोर्ट करेंगे ।
aulastlog(8)एक समान रिपोर्ट बनाएगा, लेकिन ऑडिट लॉग इन से /var/log/audit/audit.log। (अनुशंसित, क्योंकि auditd(8)रिकॉर्ड की तुलना में syslog(3)रिकॉर्ड में छेड़छाड़ करना कठिन है ।)
ausearch -c sshdsshdप्रक्रिया से रिपोर्ट के लिए अपने ऑडिट लॉग को खोजेगा ।
last(8)/var/log/wtmpसबसे हाल के लॉगिन के माध्यम से खोज करेंगे । lastb(8)दिखा देंगे bad login attempts।
/root/.bash_history कुछ विवरण शामिल हो सकते हैं, यह मानते हुए कि आपके सिस्टम से जुड़ने वाले गोबर को लॉग आउट करने से पहले इसे हटाने के लिए पर्याप्त अक्षम था।
सुनिश्चित करें कि आप सिस्टम के सभी उपयोगकर्ताओं के~/.ssh/authorized_keys लिए फ़ाइलों की जांच करते हैं, यह सुनिश्चित करने के लिए जांच करें कि भविष्य में किसी बिंदु पर कोई नया पोर्ट खोला जाना तय नहीं है, आदि, जबकि आपको वास्तव में सिर्फ खरोंच से मशीन का पुनर्निर्माण करना चाहिए , यह चोट नहीं पहुंचाएगा। हमलावर ने क्या किया, यह जानने के लिए समय निकालें।crontab
ध्यान दें कि स्थानीय मशीन पर संग्रहीत सभी लॉग संदिग्ध हैं; एकमात्र लॉग जो आप वास्तविक रूप से विश्वास कर सकते हैं, एक और मशीन के लिए अग्रेषित किया जाता है जिसे समझौता नहीं किया गया था। शायद यह केंद्रीकृत लॉग हैंडलिंग के माध्यम से rsyslog(8)या auditd(8)रिमोट मशीन हैंडलिंग की जांच के लायक होगा ।