ハッキングされたサーバーでログを検索する。
私のサーバーはハッキングされ、ハッカーはなんとかルートとしてsshを実行しました(私は知っています、私の側の恐ろしい間違いです)。
攻撃の発信元を見つけるためにどのファイルを探す必要がありますか? (少なくとも彼らのIP)。
サーバーは本当に古く、Red Hat 9を実行しています。ただし、重要なことは何もありませんでした。
通常はsshログインのレコードがある/var/log/auth.logを調べる必要があります。
しかし、攻撃者が本当に愚かでない限り、攻撃者はアクセスの痕跡を削除したか、リトレース可能なIPから来たのではありません。
まず、sshd-loggingがどのように設定されているかを調べます(通常はsshd_config)。
次に、syslog/rsyslog/syslog-ngまたはシステムがログに使用するものがそのターゲット用に構成されている場所と、ログが記録される場所を調べます。
次に、そのログファイルで情報を検索します。