На этот вопрос уже есть ответ:
Кто-то получает доступ к моему компьютеру с моим паролем, я хочу знать, кто вошел в мою систему через ssh (скрыто) Я хочу знать этот ip, как его отследить .
sshd регистрирует все полномочия в /var/log/auth.log
. Можно проверить на логины путем выполнения grep sshd /var/log/auth.log
. Вывод посмотрит что-то следующее:
Jun 5 13:56:06 computer-name sshd[1582]: Accepted password for user from 10.0.2.2 port 41341 ssh2
Однако, если Вы уверены, что Ваша система поставлена под угрозу, этим журналам нельзя доверять. Необходимо сразу изменить пароль, скопировать все данные и переустановить систему. Если взломщику удалось получить корневой доступ (или потому что Ваш пользователь имеет sudo права или посредством использования) к системе ни журналам, ни любым исполняемым файлам (даже системные) нельзя доверять. Единственная вещь, оставленная сделать, состоит в том, чтобы уничтожить его с орбиты.
Если IP взломщика 192.168.8.345 затем, он находится в Вашей локальной сети.
Вы не сможете узнать, кто или где этот человек входит в систему от того, так как они локальны.
Редактирование: Попробуйте этот код.
sudo ufw enable
sudo ufw block proto tcp from 192.168.8.345