Você deve procurar em /var/log/auth.log, que normalmente possui os registros para logins do ssh.
Mas, a menos que o invasor seja realmente burro, eles removeram os vestígios de seu acesso e / ou não vieram de um IP retrátil.
Meu servidor foi hackeado e o hacker conseguiu o ssh como root (eu sei, erro horrível da minha parte).
Quais arquivos devo procurar para descobrir a origem do ataque? (Pelo menos seu IP).
O servidor é muito antigo, está rodando o Red Hat 9. Não havia nada de importante nele, no entanto.
Você deve procurar em /var/log/auth.log, que normalmente possui os registros para logins do ssh.
Mas, a menos que o invasor seja realmente burro, eles removeram os vestígios de seu acesso e / ou não vieram de um IP retrátil.
Primeiro, procure como o seu sshd-logging está configurado (normalmente sshd_config ).
Em seguida, procure onde seu syslog / rsyslog / syslog-ng ou o sistema usado para o registro está configurado para esse destino e para onde ele faz o login.
Em seguida, procure as informações nesse arquivo de registro.