Sobre sua pergunta:
-
Você pode verificar todas as solicitações recebidas para a porta 80 nos registros do servidor da web.
- No Apache, seus logs podem ser encontrados nos seguintes endereços, dependendo da distribuição e versão do GNU Linux.
-
/var/log/apache/access.log -
/var/log/apache2/access.log -
/var/log/httpd/access.log
-
- No Apache, seus logs podem ser encontrados nos seguintes endereços, dependendo da distribuição e versão do GNU Linux.
-
Sobre a verificação dos seus registros SSH, consulte os seguintes links:
-
Você pode verificar os comandos ALL executados por outro usuário abrindo o arquivo
.bash_history, localizado em/home/<username>/.bash_history, e tenha em mente que o usuário pode excluir esse arquivo de log.
A execução de tail /var/log/auth.log | grep <username> deve fornecer o histórico de sudo de um usuário.
Se o usuário gerar um shell com sudo -s , sudo su , sudo sh , etc, os comandos executados poderão aparecer no arquivo de histórico do usuário raiz, localizado em /root/.bash_history .
Se você quiser uma ferramenta criada para essa finalidade, verifique o sysdig . É embalado em artful e outros lançamentos do Ubuntu .
Sydig é um sistema de código aberto, multiplataforma, poderoso e flexível ferramenta de monitoramento, análise e solução de problemas para o Linux. Pode ser usado para exploração e depuração do sistema.
Você pode executar sysdig -c spy_users para exibir todos os comandos que os usuários iniciam interativamente, assim como todos os usuários de diretório que visitam.
Além disso, você pode usar spy_port para mostrar os dados trocados usando o número de porta IP fornecido.
Espero que isso ajude.