obtém o endereço IP que modificou um arquivo

Não é provável em uma etapa, mas você pode ver quem efetuou login em um sistema usando w e pode corresponder os horários de modificação dos arquivos mostrados por stat com o tempo de login do usuário. Se o arquivo não for 777, você também pode considerar as permissões do usuário para filtrar isso para apenas pessoas capazes de editar o arquivo. Caso contrário, examine os eventos do sistema de arquivos de auditoria.

Para monitorar o histórico de login do usuário, você pode tentar Utmpdump . Ele vai te dar usuários, horários, ipaddresses de logins

para exibir o conteúdo de / var / run / utmp, execute o seguinte comando:

utmpdump /var/run/utmp

Para fazer o mesmo com / var / log / wtmp:

utmpdump /var/log/wtmp

E com / var / log / btmp:

utmpdump /var/log/btmp

você pode usar o seguinte comando para listar todos os eventos de login de um usuário específico (exemplo: USER12345 ) e enviar a saída para um arquivo .csv que pode ser visualizado com um pager ou um aplicativo de pasta de trabalho , como o Calc do LibreOffice ou o Microsoft Excel.

Vamos exibir PID, nome de usuário, endereço IP e data e hora somente:

utmpdump /var/log/wtmp | grep -E "\[7].*USER12345" | awk -v OFS="," 'BEGIN {FS="] "}; {print $2,$4,$7,$8}' | sed -e 's/\[//g' -e 's/\]//g'

Se alguém estiver alterando arquivos remotamente sem autorização, você tem muito sérios problemas de segurança.

Você deve desconectar a máquina da Internet, fazer backup dos arquivos de configuração e dados somente , passar por cima deles com um pente fino para garantir que nada fique suspeito, reinstalar do zero, fazer você não está executando nenhum programa vulnerável (especialmente aqueles escritos pelo usuário!), altere todas as senhas para protegê-las, desautorize, por exemplo. conexões SSH de senha. Leia sobre como proteger sua distribuição, como configurar o registro detalhado e analisar os logs regularmente .

Meus pêsames.