lastlog(8)zgłosi najnowsze informacje z /var/log/lastlogobiektu, jeśli pam_lastlog(8)skonfigurowałeś.
aulastlog(8)zrobi podobny raport, ale z dzienników kontroli loguje się /var/log/audit/audit.log. (Zalecane, ponieważ auditd(8)trudniej manipulować syslog(3)zapisami niż zapisami).
ausearch -c sshdprzeszukuje twoje dzienniki kontroli pod kątem raportów z sshdprocesu.
last(8)przeszuka /var/log/wtmpnajnowsze dane logowania. lastb(8)pokaże bad login attempts.
/root/.bash_history może zawierać pewne szczegóły, zakładając, że goober, który majstrował przy twoim systemie, był na tyle niekompetentny, aby nie usunąć go przed wylogowaniem.
Upewnij się, że sprawdzasz ~/.ssh/authorized_keyspliki dla wszystkich użytkowników w systemie, zaznacz crontabs, aby upewnić się, że żadne nowe porty nie zostaną otwarte w przyszłości itp. Chociaż naprawdę powinieneś po prostu odbudować maszynę od zera , nie zaszkodzi poświęcić czas, aby dowiedzieć się, co zrobił napastnik.
Należy pamiętać, że wszystkie dzienniki przechowywane na komputerze lokalnym są podejrzane; jedyne logi, którym możesz zaufać, są przekazywane na inną maszynę, która nie została naruszona. Być może warto zbadać scentralizowaną obsługę dzienników za pośrednictwem rsyslog(8)lub auditd(8)zdalnej obsługi maszyn.