Alguém acessando meu computador com minha senha, quero saber quem faz login no meu sistema via ssh[e-mail protegido], quero saber esse ip como rastreá-lo.
Responder1
sshd registra todas as autorizações em /var/log/auth.log. Você pode verificar logins executando
grep sshd /var/log/auth.log. A saída será parecida com a seguinte:
Jun 5 13:56:06 computer-name sshd[1582]: Accepted password for user from 10.0.2.2 port 41341 ssh2
No entanto, se você tiver certeza de que seu sistema está comprometido, esses logs não serão confiáveis. Você precisa alterar sua senha imediatamente, fazer backup de todos os dados e reinstalar o sistema. Se um invasor conseguiu obter acesso root (seja porque seu usuário tem direitos sudo ou por meio de uma exploração) ao sistema, nem os logs nem quaisquer executáveis (mesmo os do sistema) serão confiáveis. A única coisa que resta a fazer é tirá-lo da órbita.
Responder2
Se o IP do invasor for 192.168.8.345 então ele está na sua rede local.
- Mude seu roteador para criptografia WPA2 e altere as informações de login do roteador
- Mude a senha do seu computador para algo um pouco mais elaborado
Você não conseguirá descobrir de quem ou de onde essa pessoa está fazendo login, pois ela é local.
Editar: tente este código.
sudo ufw enable
sudo ufw block proto tcp from 192.168.8.345