Esta resposta também se destina a outras pessoas que podem encontrar este tópico procurando algumas dicas, especialmente se a auditoria e as notificações não tiverem sido configuradas.
Você restringiu o login do usuário?
grep apache /etc/passwd
Verifique se há /bin/false
ou /usr/sbin/nologin
ou /sbin/nologin
no final da entrada do usuário.
Histórico de tentativas de login malsucedidas
lastb apache
Isso mostrará o número de tentativas malsucedidas de login pelo usuário do apache.
(A saída de lastb
mostra as entradas de log de /var/log/btmp
, enquanto last
mostra as entradas de /var/log/wtmp
)
Frequência e horários de login
Verifique a saída de last
. O usuário faz o login em horários aleatórios? Ou isso acontece em um horário específico todos os dias?
Logins e IPs com falha
grep 'apache' /var/log/auth.log
Como você disse que houve tentativas de login com falha, /var/log/auth.log
deve ter os endereços IP dos quais essas tentativas de login ocorreram (via SSH). Procure especialmente as últimas tentativas malsucedidas feitas antes da primeira tentativa de login bem-sucedida. O último pode ser encontrado verificando a saída de last
em relação a lastb
. Você também pode comparar entradas de log em /var/log/btmp
com aquelas em /var/log/wtmp
.