Кто-то получает доступ к моему компьютеру с помощью моего пароля, я хочу знать, кто входит в мою систему через SSH.[email protected], я хочу узнать этот IP, как его отследить.
решение1
sshd регистрирует все авторизации в /var/log/auth.log. Вы можете проверить наличие входов, выполнив
grep sshd /var/log/auth.log. Вывод будет выглядеть примерно следующим образом:
Jun 5 13:56:06 computer-name sshd[1582]: Accepted password for user from 10.0.2.2 port 41341 ssh2
Однако если вы уверены, что ваша система скомпрометирована, этим журналам доверять нельзя. Вам нужно немедленно сменить пароль, сделать резервную копию всех данных и переустановить систему. Если злоумышленнику удалось получить root-доступ (либо потому, что у вашего пользователя есть права sudo, либо через эксплойт), ни журналам, ни исполняемым файлам (даже системным) доверять нельзя. Остается только уничтожить ее с орбиты.
решение2
Если IP-адрес злоумышленника — 192.168.8.345, то он находится в вашей локальной сети.
- Измените шифрование маршрутизатора на WPA2 и измените данные для входа в маршрутизатор.
- Измените пароль на вашем компьютере на что-то более сложное.
Вы не сможете узнать, кто и откуда входит в систему, поскольку он находится локально.
Редактировать: Попробуйте этот код.
sudo ufw enable
sudo ufw block proto tcp from 192.168.8.345