lastlog(8) сообщит о самой последней информации из /var/log/lastlog , если у вас pam_lastlog(8) .
aulastlog(8) сделает аналогичный отчет, но из журналов аудита в /var/log/audit/audit.log . (Рекомендуется, поскольку записи auditd(8) сложнее подделать, чем записи syslog(3) .)
ausearch -c sshd будет искать в ваших журналах аудита отчеты о процессе sshd .
last(8) будет искать в /var/log/wtmp самые последние входы в систему. lastb(8) покажет bad login attempts .
/root/.bash_history может содержать некоторые подробности, если допустить, что goober, который возился с вашей системой, был достаточно некомпетентен, чтобы не удалить его перед выходом из системы.
Убедитесь, что вы проверили файлы ~/.ssh/authorized_keys для всех пользователей в системе, проверьте crontab чтобы убедиться, что новые порты не планируется открывать в будущем, и т.д.
Обратите внимание, что все журналы, хранящиеся на локальном компьютере, являются подозрительными; единственные журналы, которым вы действительно можете доверять , пересылаются на другую машину, которая не была взломана. Возможно, стоило бы изучить централизованную обработку журналов с помощью удаленной обработки rsyslog(8) или auditd(8) .
Вы также можете попробовать:
grep sshd /var/log/audit/audit.log
А также:
last | grep [username]
или же
last | head
