如何在 Ubuntu 中知道誰透過 ssh 命令遠端存取我的電腦？

Question 1

sshd 將所有授權記錄在/var/log/auth.log.您可以透過執行來檢查登入情況 grep sshd /var/log/auth.log。輸出將如下所示：

Jun  5 13:56:06 computer-name sshd[1582]: Accepted password for user from 10.0.2.2 port 41341 ssh2

但是，如果您確定您的系統受到威脅，則這些日誌不可信。您需要立即變更密碼，備份所有資料並重新安裝系統。如果攻擊者設法獲得系統的根存取權限（因為您的使用者俱有 sudo 權限或透過漏洞），則日誌和任何可執行檔（甚至是系統執行檔）都無法信任。剩下唯一要做的就是從軌道上用核武攻擊它。

Answer

sshd 將所有授權記錄在/var/log/auth.log.您可以透過執行來檢查登入情況 grep sshd /var/log/auth.log。輸出將如下所示：

Jun  5 13:56:06 computer-name sshd[1582]: Accepted password for user from 10.0.2.2 port 41341 ssh2

但是，如果您確定您的系統受到威脅，則這些日誌不可信。您需要立即變更密碼，備份所有資料並重新安裝系統。如果攻擊者設法獲得系統的根存取權限（因為您的使用者俱有 sudo 權限或透過漏洞），則日誌和任何可執行檔（甚至是系統執行檔）都無法信任。剩下唯一要做的就是從軌道上用核武攻擊它。

Question 2

如果攻擊者的 IP 是 192.168.8.345，那麼他就在您的本地網路上。

您將無法找出此人從誰或從哪裡登錄，因為他們是本地人。

編輯：試試這個程式碼。

sudo ufw enable
sudo ufw block proto tcp from 192.168.8.345

Answer

如果攻擊者的 IP 是 192.168.8.345，那麼他就在您的本地網路上。

您將無法找出此人從誰或從哪裡登錄，因為他們是本地人。

編輯：試試這個程式碼。

sudo ufw enable
sudo ufw block proto tcp from 192.168.8.345

相關內容