不正アクセス確認 ログイン履歴

たまにログ確認して不正アクセスされてないか調べましょう。

1．最終ログインの日時を確認

[root@miracle ~]# lastlog
ユーザ名         ポート   場所             最近のログイン
root             pts/0                     土  9月 17 10:15:51 +0900 2022
bin                                        **一度もログインしていません**
daemon                                     **一度もログインしていません**
adm                                        **一度もログインしていません**
lp                                         **一度もログインしていません**
neko             pts/0    192.168.10.xxx   土  9月 17 10:15:41 +0900 2022
・
・
・

一般ユーザーnekoがログインし、rootになってるのが判ります。
特定ユーザーの最終ログインを確認する場合は

[root@miracle ~]# lastlog -u neko　
ユーザ名         ポート   場所             最近のログイン
neko             pts/0    192.168.10.xxx   土  9月 17 10:15:41 +0900 2022

2．直近のログイン確認

[root@miracle ~]# last
neko     pts/0        192.168.10.xxx   Sat Sep 17 10:15   still logged in
reboot   system boot  4.18.0-372.26.1. Sat Sep 17 10:15   still running
neko     pts/3        192.168.10.xxx   Sat Sep 17 10:14 - 10:14  (00:00)
neko     pts/2        192.168.10.xxx   Sat Sep 17 10:12 - 10:14  (00:02)
neko     pts/1        123.225.xxx.xxx  Sat Sep 17 10:09 - 10:14  (00:05)
neko     pts/0        123.225.xxx.xxx  Sat Sep 17 09:05 - 10:14  (01:09)
neko     pts/0        123.225.xxx.xxx  Fri Sep 16 12:39 - 12:51  (00:11)

3．ログイン中ユーザーを確認

[root@miracle ~]# who
neko     pts/0        2022-09-17 10:15 (192.168.10.xxx)

4．ログイン失敗のログを確認

[root@miracle ~]# cat /var/log/secure* | grep "sshd" | grep "Failed password"
Sep 13 23:57:12 miracle sshd[368942]: Failed password for root from 124.71.39.154 port 51624 ssh2
Sep 13 23:57:21 miracle sshd[368944]: Failed password for root from 124.71.39.154 port 39848 ssh2
Sep 13 23:57:31 miracle sshd[368946]: Failed password for root from 124.71.39.154 port 56304 ssh2
Sep 13 23:57:42 miracle sshd[368948]: Failed password for root from 124.71.39.154 port 44528 ssh2
Sep 13 23:57:55 miracle sshd[368952]: Failed password for root from 124.71.39.154 port 60984 ssh2
Sep 13 23:58:08 miracle sshd[368954]: Failed password for root from 124.71.39.154 port 49208 ssh2
Sep 13 23:58:21 miracle sshd[368956]: Failed password for invalid user codyy from 124.71.39.154 port 37434 ssh2
・
・
Sep 14 06:40:04 miracle sshd[486074]: Failed password for root from 124.71.39.154 port 33616 ssh2
Sep 14 07:07:45 miracle sshd[486148]: Failed password for root from 124.71.39.154 port 50416 ssh2
Sep 14 07:38:55 miracle sshd[486268]: Failed password for root from 124.71.39.154 port 39038 ssh2
Sep 14 08:26:30 miracle sshd[486389]: Failed password for root from 124.71.39.154 port 56096 ssh2

鬼のように履歴がありビックリしました！w
9/14以降は無いみたいで安心です。

このIPアドレス（124.71.39.154）を「ドメイン/IPアドレスサーチ」で検索すると、「Huawei Public Cloud Service」と出て来ます。中華のHuawei 野郎が攻撃しまくってたのです、恐ろしや・・・
踏み台探してるんでしょうね、きっと

5．ログイン成功のログを確認

[root@miracle ~]# cat /var/log/secure* | grep "sshd" | grep "Accepted"
Sep 17 09:05:16 miracle sshd[897181]: Accepted publickey for neko from 192.168.10.xxx port 13759 ssh2: RSA SHA256:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Sep 17 10:09:14 miracle sshd[897658]: Accepted publickey for neko from 192.168.10.xxx port 49585 ssh2: RSA SHA256:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Sep 17 10:12:07 miracle sshd[897725]: Accepted publickey for neko from 192.168.10.xxx port 64385 ssh2: RSA SHA256:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

取りあえず、ログイン成功してるのが自分だけで良かったです！（本気

是非、皆さんも確認しましょう！
特に最近ラズパイを、無防備で外部公開する人増えてるみたいなので、最低限のセキュリティー対策と不正アクセス確認位はするように心掛けましょう！