Um endereço IP não executa um comando. Os comandos são sempre executados por um programa que é executado localmente. Normalmente, as informações forenses relevantes sobre quem executou um comando são o usuário que executou este programa.
É possível rastrear um comando para um servidor que ouve a entrada pela rede, por exemplo, Descobrir que algum comando foi iniciado a partir de uma sessão que foi criada por um processo do servidor SSH e, em seguida, localizar qual máquina remota esse processo do servidor está escutando. Se o comando é executado em um terminal, então esta informação pode ser obtida verificando em qual terminal o comando é executado e executando who
para ver qual usuário está executando este comando e de onde ele fez login. Após o fato, a associação entre tempo, terminal de usuário e endereço IP pode ser acessada com last
.
Comandos individuais não são registrados por padrão. Se você quiser fazer isso, você tem que configurá-lo. Uma maneira fácil e com pouca sobrecarga é com a contabilidade do processo : instale acct
, certifique-se de que o serviço é ativado e, em seguida, cada comando individual (mas não seu argumento) é registrado. Corre
lastcomm
para ver o log associando comandos, horas e terminais. Você pode então cruzar as informações com os endereços IP informados por last
.