Вопросы Теги

то, как упростить информацию, содержало в /var/log/auth.log

мой /var/log/auth.log содержит некоторые строки такой как 

"reverse mapping checking getaddrinfo for 
 224.51.174.61.dial.wz.zj.dynamic.163data.com.cn [61.174.51.224] failed - 
 POSSIBLE BREAK-IN ATTEMPT!" 
"Failed password for root from 61.174.51.224 port 4227 ssh2"

"reverse mapping checking getaddrinfo for 
 187-101-166-232.dsl.telesp.net.br [187.101.166.232] failed - 
 POSSIBLE BREAK-IN ATTEMPT!"
"Invalid user Admin from 187.101.166.232"

Они я вижу, что хакерам не удалось ворваться.

Но к сожалению я также вижу некоторые журналы такой как 

Successful su for xxxxxx (my username) by root

Мои немые вопросы:

  • Из auth.log, как я могу сказать, что "успешный su" был мной, не хакерами, которые, возможно, получили мою информацию о входе в систему?
  • Как отфильтровать файл auth.log так, чтобы он кратко сообщил, какой пользователь успешно вошел в систему, как долго, и от где? IP-адреса были действительно в файле auth.log, но не легко видеть, преуспели ли они на самом деле в том, чтобы ворваться.
  • Существует ли файл журнала для проверки то, что сделали хакеры?

Спасибо за любое просвещение.

1
задан 4 April 2014 в 12:32

2 ответа

1) из auth.log, как я могу сказать, что "успешный su" был мной, не хакерами, которые, возможно, получили мою информацию о входе в систему?

, Который повредил бы значение файлов журнала. Как Ваша система должна знать, является ли это хакер, который сделал succesfull su?

2), Как отфильтровать файл auth.log так, чтобы он кратко сообщил, какой пользователь успешно вошел в систему, как долго, и от где?

Это - то, для чего программа last. Это анализирует файлы /var/log/wmtp и /var/log/utmp, которые содержат эту информацию. См.: 

user@host:~$ last
root     pts/0        1.2.3.4      Fri Apr  4 07:59   still logged in
root     pts/5        1.2.3.4      Wed Apr  2 15:58 - 17:00  (01:02)
root     pts/0        1.2.3.4      Wed Apr  2 07:39 - 16:15  (08:36)
root     pts/0        1.2.3.4      Tue Apr  1 07:39 - 16:00  (08:20)

Дополнительно Ваш может проанализировать более старый wtmp и utmp файлы с -f опция: last -f /var/log/wtmp.1.

3) там файл журнала для проверки то, что сделали хакеры?

Посмотрите вопрос 1). Когда хакер получает доступ к Вашей системе, это - успешная аутентификация. Таким образом, система не знает, что это - хакер. Все, что можно сделать, ищет в /var/log/* трассировки.

2
ответ дан 11 November 2019 в 12:49

Можно просто проанализировать файл использование auth.log: 

 cat  /var/log/auth.log | grep "Successful"

для видят успешные попытки

, команда выше производила все строки в /var/log/auth.log, содержащем Успешное слово, или можно изменить выражение, т.е. "Отказавший пароль", для просмотра неудавшихся попыток входа в систему.

Поэтому теперь, можно проверить успешные логины и видеть любой другой IP что не Ваш.

-1
ответ дан 11 November 2019 в 12:49

Другие вопросы по тегам:

Похожие вопросы: