Geralmente, não, não há registros sobre eventos de saída, como é assumido por alguém que os solicitou.
Dependendo de como o invasor fez login e de como ele executou o ataque, pode haver entradas em vários arquivos do histórico (por exemplo, ~/.bash_history
), mas não haverá nada nos syslogs, a menos que você adicione especificamente regras para registrá-lo. Se desejar, você pode configurar o registro de conexão de saída, embora alguns cuidados devam ser tomados para registrar apenas o que você deseja fazer. Um exemplo está disponível no fórum do Fedora e aproveita iptables
.
Quanto à sua pergunta de login raiz. Geralmente, os invasores não se importam muito em obter acesso root. Eles só querem outro servidor para executar seus scripts de ataque. root
faz parte do dicionário usado para ataques de usuários, apenas no caso raro de alguém ter uma conta root ativada com uma senha fraca. Além disso, não há garantia de que um usuário está em /etc/sudoers
e você está perdendo um tempo precioso de ataque tentando ver se um usuário tem (desnecessário) sudo
de acesso.