lastlog(8)/var/log/lastlogআপনি যদি pam_lastlog(8)কনফিগার করে থাকেন তবে সুবিধাটি থেকে সাম্প্রতিকতম তথ্যের প্রতিবেদন করবে ।
aulastlog(8)অনুরূপ প্রতিবেদন তৈরি করবে, তবে নিরীক্ষার লগ ইন থেকে /var/log/audit/audit.log। (প্রস্তাবিত, auditd(8)রেকর্ডগুলির তুলনায় syslog(3)রেকর্ডগুলি ছত্রভঙ্গ করা আরও শক্ত ))
ausearch -c sshdsshdপ্রক্রিয়া থেকে রিপোর্টগুলির জন্য আপনার নিরীক্ষার লগগুলি অনুসন্ধান করবে ।
last(8)/var/log/wtmpসাম্প্রতিকতম লগইনগুলির জন্য অনুসন্ধান করবে । lastb(8)দেখাবে bad login attempts।
/root/.bash_history কিছু বিশদ থাকতে পারে, ধরে নিবেন যে আপনার সিস্টেমে ফিডাল এমন গুবার লগ আউট করার আগে এটি অপসারণের পক্ষে যথেষ্ট অক্ষম।
আপনি সিস্টেমে সমস্ত ব্যবহারকারীর~/.ssh/authorized_keys জন্য ফাইল পরীক্ষা করেছেন কিনা তা নিশ্চিত করুন , ভবিষ্যতে কোনও সময়ে কোনও নতুন বন্দর খোলার সময় নির্ধারণ করা হয়নি তা নিশ্চিত করে দেখুন ইত্যাদি আপনার স্ক্র্যাচ থেকে সত্যই কেবল মেশিনটি পুনর্নির্মাণ করা উচিত , এতে কোনও ক্ষতি হবে না আক্রমণকারী কী করেছিল তা জানতে সময় লাগবেcrontab
নোট করুন যে স্থানীয় মেশিনে সঞ্চিত সমস্ত লগ সন্দেহজনক; আপনি যে লগগুলি বাস্তবিকভাবে বিশ্বাস করতে পারেন সেগুলি অন্য কোনও মেশিনে ফরোয়ার্ড করা হয়েছে যা আপস করা হয়নি। সম্ভবত এটি কেন্দ্রীয়ভাবে লগ হ্যান্ডলিং rsyslog(8)বা auditd(8)রিমোট মেশিন হ্যান্ডলিংয়ের মাধ্যমে অনুসন্ধানের জন্য উপযুক্ত হবে investigating