Alguien accede a mi computadora con mi contraseña, quiero saber quién inicia sesión en mi sistema a través de ssh[correo electrónico protegido], quiero saber esa ip cómo rastrearla.
Respuesta1
sshd registra todas las autorizaciones en /var/log/auth.log. Puede verificar los inicios de sesión realizando
grep sshd /var/log/auth.log. El resultado será algo así como lo siguiente:
Jun 5 13:56:06 computer-name sshd[1582]: Accepted password for user from 10.0.2.2 port 41341 ssh2
Sin embargo, si está seguro de que su sistema está comprometido, no se puede confiar en estos registros. Debe cambiar su contraseña inmediatamente, hacer una copia de seguridad de todos los datos y reinstalar el sistema. Si un atacante logró obtener acceso de root (ya sea porque su usuario tiene derechos sudo o mediante un exploit) al sistema, no se puede confiar en los registros ni en los ejecutables (ni siquiera los del sistema). Lo único que queda por hacer es bombardearlo desde la órbita.
Respuesta2
Si la IP del atacante es 192.168.8.345, entonces está en su red local.
- Cambie su enrutador al cifrado WPA2 y cambie la información de inicio de sesión de su enrutador
- Cambia la contraseña de tu computadora por algo un poco más elaborado
No podrás saber quién o desde dónde inicia sesión esta persona, ya que es local.
Editar: prueba este código.
sudo ufw enable
sudo ufw block proto tcp from 192.168.8.345