Localizando os logs em um servidor invadido. [fechadas]

4

Meu servidor foi hackeado e o hacker conseguiu o ssh como root (eu sei, erro horrível da minha parte).

Quais arquivos devo procurar para descobrir a origem do ataque? (Pelo menos seu IP).

O servidor é muito antigo, está rodando o Red Hat 9. Não havia nada de importante nele, no entanto.

    
por user54342 11.12.2013 / 20:53

2 respostas

6

Você deve procurar em /var/log/auth.log, que normalmente possui os registros para logins do ssh.

Mas, a menos que o invasor seja realmente burro, eles removeram os vestígios de seu acesso e / ou não vieram de um IP retrátil.

    
por 11.12.2013 / 21:06
1

Primeiro, procure como o seu sshd-logging está configurado (normalmente sshd_config ).

Em seguida, procure onde seu syslog / rsyslog / syslog-ng ou o sistema usado para o registro está configurado para esse destino e para onde ele faz o login.

Em seguida, procure as informações nesse arquivo de registro.

    
por 11.12.2013 / 22:59