Jemand greift mit meinem Passwort auf meinen Computer zu. Ich möchte wissen, wer sich über SSH bei meinem System anmeldet[email geschützt], ich möchte wissen, wie ich die IP zurückverfolgen kann.
Antwort1
sshd protokolliert alle Autorisierungen in /var/log/auth.log. Sie können nach Anmeldungen suchen, indem Sie ausführen
grep sshd /var/log/auth.log. Die Ausgabe sieht ungefähr so aus:
Jun 5 13:56:06 computer-name sshd[1582]: Accepted password for user from 10.0.2.2 port 41341 ssh2
Wenn Sie jedoch sicher sind, dass Ihr System kompromittiert ist, können Sie diesen Protokollen nicht trauen. Sie müssen sofort Ihr Passwort ändern, alle Daten sichern und das System neu installieren. Wenn es einem Angreifer gelungen ist, Root-Zugriff auf das System zu erhalten (entweder weil Ihr Benutzer Sudo-Rechte hat oder durch einen Exploit), können weder die Protokolle noch ausführbare Dateien (auch Systemdateien) vertrauenswürdig sein. Das Einzige, was noch zu tun bleibt, ist, es aus dem Orbit zu nuken.
Antwort2
Wenn die IP des Angreifers 192.168.8.345 ist, befindet er sich in Ihrem lokalen Netzwerk.
- Stellen Sie Ihren Router auf WPA2-Verschlüsselung um und ändern Sie Ihre Router-Anmeldeinformationen
- Ändern Sie das Passwort Ihres Computers in ein etwas komplizierteres
Sie können nicht herausfinden, wer oder von wo aus sich diese Person anmeldet, da sie sich vor Ort befindet.
Bearbeiten: Versuchen Sie diesen Code.
sudo ufw enable
sudo ufw block proto tcp from 192.168.8.345