lastlog(8)повідомить про останню інформацію з /var/log/lastlogоб'єкта, якщо ви pam_lastlog(8)налаштували.
aulastlog(8)складе аналогічний звіт, але з журналів аудиту в /var/log/audit/audit.log. (Рекомендується, оскільки auditd(8)записи важче підробляти, ніж syslog(3)записи.)
ausearch -c sshdздійснить пошук у ваших журналах аудиту для звітів із цього sshdпроцесу.
last(8)буде шукати /var/log/wtmpнайновіші входи. lastb(8)покаже bad login attempts.
/root/.bash_history може містити деякі подробиці, якщо вважати, що губер, який поспілкувався з вашою системою, був досить некомпетентним, щоб не видалити її перед виходом із системи.
Переконайтеся, що ви перевіряєте ~/.ssh/authorized_keysфайли для всіх користувачів в системі, перевірте, чи crontabне планується відкриття нових портів у якийсь момент у майбутньому тощо. Хоча ви справді повинні просто переробити машину з нуля , це не зашкодить. витратити час, щоб дізнатися, що зробив нападник.
Зверніть увагу, що всі журнали, що зберігаються на локальній машині, є підозрюваними; єдині журнали, яким можна реально довіритись , пересилаються на іншу машину, яка не була порушена. Можливо, варто було б дослідити централізовану обробку журналу через rsyslog(8)або auditd(8)віддалену обробку машини.