мой /var/log/auth.log содержит некоторые строки такой как
"reverse mapping checking getaddrinfo for
224.51.174.61.dial.wz.zj.dynamic.163data.com.cn [61.174.51.224] failed -
POSSIBLE BREAK-IN ATTEMPT!"
"Failed password for root from 61.174.51.224 port 4227 ssh2"
"reverse mapping checking getaddrinfo for
187-101-166-232.dsl.telesp.net.br [187.101.166.232] failed -
POSSIBLE BREAK-IN ATTEMPT!"
"Invalid user Admin from 187.101.166.232"
Они я вижу, что хакерам не удалось ворваться.
Но к сожалению я также вижу некоторые журналы такой как
Successful su for xxxxxx (my username) by root
Мои немые вопросы:
Спасибо за любое просвещение.
1) из auth.log, как я могу сказать, что "успешный su" был мной, не хакерами, которые, возможно, получили мою информацию о входе в систему?
, Который повредил бы значение файлов журнала. Как Ваша система должна знать, является ли это хакер, который сделал succesfull su?
2), Как отфильтровать файл auth.log так, чтобы он кратко сообщил, какой пользователь успешно вошел в систему, как долго, и от где?
Это - то, для чего программа last
. Это анализирует файлы /var/log/wmtp
и /var/log/utmp
, которые содержат эту информацию. См.:
user@host:~$ last
root pts/0 1.2.3.4 Fri Apr 4 07:59 still logged in
root pts/5 1.2.3.4 Wed Apr 2 15:58 - 17:00 (01:02)
root pts/0 1.2.3.4 Wed Apr 2 07:39 - 16:15 (08:36)
root pts/0 1.2.3.4 Tue Apr 1 07:39 - 16:00 (08:20)
Дополнительно Ваш может проанализировать более старый wtmp
и utmp
файлы с -f
опция: last -f /var/log/wtmp.1
.
3) там файл журнала для проверки то, что сделали хакеры?
Посмотрите вопрос 1). Когда хакер получает доступ к Вашей системе, это - успешная аутентификация. Таким образом, система не знает, что это - хакер. Все, что можно сделать, ищет в /var/log/*
трассировки.
Можно просто проанализировать файл использование auth.log:
cat /var/log/auth.log | grep "Successful"
для видят успешные попытки
, команда выше производила все строки в /var/log/auth.log, содержащем Успешное слово, или можно изменить выражение, т.е. "Отказавший пароль", для просмотра неудавшихся попыток входа в систему.
Поэтому теперь, можно проверить успешные логины и видеть любой другой IP что не Ваш.