lastlog(8)sẽ báo cáo thông tin gần đây nhất từ /var/log/lastlogcơ sở, nếu bạn đã pam_lastlog(8)cấu hình.
aulastlog(8)sẽ làm một báo cáo tương tự, nhưng từ nhật ký kiểm toán /var/log/audit/audit.log. (Được khuyến nghị, vì auditd(8)hồ sơ khó giả mạo hơn syslog(3)hồ sơ.)
ausearch -c sshdsẽ tìm kiếm nhật ký kiểm toán của bạn cho các báo cáo từ sshdquá trình.
last(8)sẽ tìm kiếm thông qua /var/log/wtmpcác lần đăng nhập gần đây nhất. lastb(8)sẽ hiển thị bad login attempts.
/root/.bash_history có thể chứa một số chi tiết, giả sử người quản lý đã sử dụng hệ thống của bạn không đủ năng lực để không xóa nó trước khi đăng xuất.
Đảm bảo bạn kiểm tra ~/.ssh/authorized_keystệp cho tất cả người dùng trên hệ thống, kiểm tra crontabđể đảm bảo không có cổng mới nào được lên lịch để mở vào một thời điểm nào đó trong tương lai, v.v. Mặc dù bạn thực sự chỉ nên xây dựng lại máy từ đầu , nhưng nó sẽ không bị tổn thương để dành thời gian để tìm hiểu những gì kẻ tấn công đã làm.
Lưu ý rằng tất cả các bản ghi được lưu trữ trên máy cục bộ là nghi ngờ; nhật ký duy nhất bạn có thể tin tưởng thực tế được chuyển tiếp đến một máy khác không bị xâm phạm. Có lẽ sẽ đáng để điều tra xử lý nhật ký tập trung thông qua rsyslog(8)hoặc auditd(8)xử lý máy từ xa.