5

Я знаю, это звучит смешно. Я написал сценарий оболочки и выполнил на удаленной машине ssh обратно на мою локальную машину для записи некоторых файлов. Я выполнил сценарий на разных удаленных машинах и не могу вспомнить, где они находятся. Теперь я не могу убить одного или нескольких из них, потому что я забыл, на каких машинах он / она включен, и они постоянно создают новые файлы на моем локальном компьютере. Так есть ли способ узнать, какая удаленная машина обращается к моему локальному файлу? Я использую ОС Debian, и у меня нет root-доступа.

РЕДАКТИРОВАТЬ: Я попытался удалить поврежденные файлы, но как только я их удаляю, новые файлы создаются с помощью сценария, запущенного на удаленной машине (ах). Я также попробовал chmod 000 чтобы сделать каталог недоступным для записи в надежде на сбой скриптов. Ни один из них не работает.

|источник

3 ответа3

2

Все попытки входа в систему через ssh должны быть зарегистрированы в /var/log/auth.log, так как этот файл может помочь вам найти эти удаленные машины.

|источник
0

Вы могли бы сделать 

$ while true; do netstat -an | grep \:22 |  cut -b45-90 | grep -v \:22 | grep ESTABLISHED >> watch22.txt; sleep 5; done

Таким образом, все соединения с портом 22 будут помещены в файл, который возник из коробки, и он довольно быстро станет достаточно большим, поскольку будет продолжать добавлять те же самые соединения, когда ничего не происходит. Но если вы запустите его достаточно долго, вы поймаете виновников:

$ cat watch22.txt

146.148.41.2:44996      ESTABLISHED
10.2.1.25:52414         ESTABLISHED
146.148.41.2:44996      ESTABLISHED
10.1.1.25:52414         ESTABLISHED
146.148.41.2:44996      ESTABLISHED

И вы можете довольно легко отфильтровать это список уникальных IP-адресов:

$ cat watch22.txt | cut -d\: -f1 | sort -u
10.1.1.25
146.178.41.2
|источник
0

Я хотел бы порекомендовать простую утилиту whowatch. Он покажет вам пользователей, вошедших в систему (на которой она выполняется). Оттуда вы можете выбрать пользователя (скажет "sshd" при использовании ssh) и убить / прервать основной процесс в дереве (отключение сеанса), но для этого требуется root.

Однако с whowatch вы сможете легко увидеть, кто вошел в систему, кто и что использует.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .