SSH経由でサーバーにアクセスするIPアドレスの履歴

SSH経由でサーバーにアクセスするIPアドレスの履歴

私のサーバーの1つがハッキングされ、既知の中国のボットネットに感染していることがわかりました。

自己固定IP(米国アドレス)を持つプロトタイプ/テストVMなので、何の害もありません(知るのに時間がかかりました)。

これで、攻撃が中国で始まったかどうかを理解するために、侵入にどのIP / sが使用されているかを知りたいと思います。

サーバーでSSH受信接続履歴を表示する方法はありますか?

編集:システムはLinux Debian 7です。

答え1

コマンドの出力を見ると、lastIPアドレスまたはホスト名(スペースではない)を持つネットワークを介してすべての着信エントリを表示できます。それがそのシステムで実行できる唯一の方法であればsshd大丈夫です。

または、(Linuxの場合)ログインに成功しなくても、通常の接続が追跡されている場所/var/log/secure(RHベースのディストリビューションから)または/var/log/auth.log(Debianベースのディストリビューションで)確認できます(/クリック、読むものはどこですか)。例:sshdutmpwtmplast

Apr  3 16:21:01 xxxxxxvlp05 sshd[6266]: Connection closed by xxx.xxx.13.76
...
Apr  3 09:09:49 xxxxxxvlp05 sshd[26275]: Failed password for invalid user __super from xxx.xxx.13.76 port 45229 ssh2

IIRC Solaris sshd(必ずしもOpenSSHである必要はありませんsshd)は、この情報を次に記録します。/var/adm/messages

編集する:

@derobertは良い指摘をしています。どのシステムでもスーパーユーザーアカウントが破損した場合、攻撃者は次の/var/log/wtmpログファイルを変更できるため、すべての賭けがキャンセルされることを覚えておくことが重要です。/var/adm/messagesログをサーバー上の安全な場所に移動すると、この問題を軽減できます。

たとえば、以前に働いていた店舗には、データセンターのさまざまなサーバーから監査ログファイルのみを受信するように保護された「監査ストア」システムがありました。今後も同様の設定をお勧めします。 (「テストマシンがあります」という言葉は、大型店舗で運営しているかのように聞こえるからです。)

答え2

サーバーでSSH受信接続履歴を表示する方法はありますか?

これにより、次のリストが提供されます。

$ zgrep sshd /var/log/auth.log* | grep rhost | sed -re 's/.*rhost=([^ ]+).*/\1/' | sort -u

geoiplookupその後、パッケージのコンテンツを使用して、geoip-binホスト名またはIPアドレスからその国に移動できます。

答え3

成功したログイン試行のみ表示:

zgrep sshd /var/log/auth.log* -h |grep -F 'Accepted'

答え4

~からこれ答え、以下のメッセージが表示されます。

SSHサーバーについて話しながら、コマンドラインソリューションを提供します。

ユーザーのログインとログアウトの追跡。簡単です。ファイルに/var/log/auth.logこの情報を含める必要があります。

このユーザーの活動を追跡します。.bash_history:多少無実の場合は、ホームディレクトリでファイルを確認できます。それらが実行したコマンドのリストが表示されます。もちろん、問題はこのファイルを削除または編集できることです。

ユーザーがログを削除するのを防ぐ:ユーザーは触れてはいけませんauth.log。彼らが遊ぶのを防ぐには、bash_historyいくつかのトリックを使用する必要があります。

ユーザーがrootアクセス権を取得した場合はどうなりますか?:終わりました。間違えない限り、彼は彼のすべての歩みを隠すことができます。

さらに、これ答えは、この変数を使用してクライアントのIPアドレスを表示できることですSSH_CLIENT

またこれ答えは、SSH履歴をこのファイルに保存できることを確認します。

に加えて、/var/log/lastlog現在のログイン(および追加情報)、履歴ログイン、および失敗したログインに関する情報を含む3つのファイルがあります。バラより/var/run/var/logutmpwtmpbtmpウィキペディア詳細な説明。通常のエディタを使用してこれらのファイルを編集することはできませんが、削除することはできます。

関連情報