如何找到Centos的最近SSH登录名及其IP地址？

似乎有人使用root密码登录到我的开发服务器，并进行了大量破坏。如何在Cent OS上检查最近的登录名及其IP地址？

谢谢。

lastlog(8)/var/log/lastlog如果已pam_lastlog(8)配置，它将报告该设施的最新信息。

aulastlog(8)会做出类似的报告，但来自审核日志/var/log/audit/audit.log。（推荐，因为auditd(8)记录比syslog(3)记录更难篡改。）

ausearch -c sshd将在您的审核日志中搜索该sshd过程的报告。

last(8)将搜索/var/log/wtmp最新的登录信息。lastb(8)将显示bad login attempts。

/root/.bash_history 可能会包含一些详细信息，假设摆弄您的系统的傻瓜没有足够的能力，无法在注销之前将其删除。

确保检查系统上所有用户的~/.ssh/authorized_keys文件，检查s以确保将来不计划打开任何新端口，依此类推。虽然您确实应该从头开始重建机器，但这不会造成任何伤害。花时间了解攻击者的行为。crontab

请注意，存储在本地计算机上的所有日志都是可疑的。您实际上可以信任的唯一日志将转发到另一台没有受到破坏的计算机。也许值得研究通过集中式日志处理rsyslog(8)还是通过auditd(8)远程机器处理。

采用：

last | grep [username]

要么

last | head 

grep sshd /var/log/audit/audit.log

看到/var/log/secure会像

pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=xxx.xxx.xxx.xxx
Failed password for invalid user XXX from xxx.xxx.xxx.xxx