누군가가 내 비밀번호로 내 컴퓨터에 접근하고 있습니다. 누가 SSH를 통해 내 시스템에 로그인했는지 알고 싶습니다.[이메일 보호됨], 그 IP를 추적하는 방법을 알고 싶습니다.
답변1
sshd는 모든 인증을 /var/log/auth.log. 을 수행하여 로그인을 확인할 수 있습니다
grep sshd /var/log/auth.log. 출력은 다음과 같습니다.
Jun 5 13:56:06 computer-name sshd[1582]: Accepted password for user from 10.0.2.2 port 41341 ssh2
그러나 시스템이 손상되었다고 확신하는 경우 이러한 로그는 신뢰할 수 없습니다. 즉시 비밀번호를 변경하고 모든 데이터를 백업한 후 시스템을 다시 설치해야 합니다. 공격자가 시스템에 대한 루트 액세스 권한을 얻은 경우(사용자에게 sudo 권한이 있거나 악용을 통해) 로그나 실행 파일(시스템 파일 포함)도 신뢰할 수 없습니다. 남은 유일한 일은 궤도에서 핵무기를 발사하는 것입니다.
답변2
공격자의 IP가 192.168.8.345라면 공격자는 로컬 네트워크에 있는 것입니다.
- 라우터를 WPA2 암호화로 변경하고 라우터 로그인 정보를 변경하세요.
- 컴퓨터의 비밀번호를 좀 더 정교한 비밀번호로 변경하세요.
이 사람은 지역 주민이기 때문에 누가, 어디서 로그인했는지 알 수 없습니다.
편집: 이 코드를 사용해 보세요.
sudo ufw enable
sudo ufw block proto tcp from 192.168.8.345