我正在使用 Ubuntu 10.04。一個不知名的人使用 postgres 使用者帳戶通過 SSH 多次登錄。

我很難找到任何相關活動的日誌，可能是因為這些日誌正在被清理？

---

我需要幫助記錄此人的活動，以便了解此人做了什麼或正在做什麼？

幫助會很棒，謝謝。

---

編輯：

我可以為這個人的下一次登錄設置任何陷阱嗎？我不介意讓伺服器保持原樣，只是為了了解這個人的活動。

有任何想法嗎？=)

第一步：使伺服器離線，將其關閉，然後複製硬碟。在進行取證工作時，請僅使用此複製驅動器，保持原件不變。

您應該能夠將複製驅動器扔到另一個系統中，掛載它，然後開始四處尋找使用者所做的事情。我要檢查的第一件事是使用者的~/.bash_history，如果有的話。大多數聰明的黑客在完成工作後會刪除此文件，但它可能仍然存在。如果這不起作用，那麼您真正要做的就是在 /var/log 中記錄消息。您可以嘗試rkhunter在系統上執行，但 IMO，這是不值得的，因為您已經知道該系統已受到損害。根據該使用者的精明程度，您可能永遠不知道他們實際做了什麼。

如果我是你，我會完全重新安裝系統並從已知良好的備份中恢復。這是您能夠確定係統沒有受到損害的唯一方法。PasswordAuthentication此外，當您啟動新系統時，請幫自己一個忙，並在您的文件中關閉/etc/ssh/sshd_config並使用密鑰身份驗證。通過這樣做，您將更安全地遠離此類惡意活動。

引用自：https://serverfault.com/questions/176519