Comecei recentemente a usar o Ubuntu e permiti poucos acessos básicos ao sistema, como o ssh e o sftp, e também um script que me envia um email quando alguém envia ssh para o meu sistema.
Hoje recebi um acionador de e-mail, alguém de um endereço IP remoto fez login e não era eu. Então eu quero ver o quanto meu sistema foi comprometido e, principalmente, o que eles fizeram?
Se eu não puder puxar essa informação agora, o que posso fazer para configurar esse registro para a próxima vez?
Por favor, sinta-se livre para sugerir qualquer solução, como eu sou a raiz e o único usuário ...
Se você foi hackeado, então é um jogo seu contra eles, quem tiver mais conhecimento sobre Linux vencerá.
A perícia forense é um assunto complexo e, lamento dizer, se você tiver que perguntar, é mais provável que você não esteja na extremidade curta do bastão.
Meu conselho é fazer backup de seus dados e reinstalar. Em seguida, use senhas strongs e leia sobre como proteger seus servidores.
Por exemplo, use chaves com ssh e desative a autenticação por senha.
Veja:
Pesquisa forense no Linux