lastlog(8)сообщит самую последнюю информацию от /var/log/lastlogобъекта, если вы pam_lastlog(8)настроили.
aulastlog(8)сделает аналогичный отчет, но из журнала аудита войдет /var/log/audit/audit.log. (Рекомендуется, поскольку auditd(8)записи труднее подделать, чем syslog(3)записи.)
ausearch -c sshdбудет искать в ваших журналах аудита отчеты о sshdпроцессе.
last(8)будет искать /var/log/wtmpсамые последние входы в систему. lastb(8)покажет bad login attempts.
/root/.bash_history может содержать некоторые детали, если предположить, что goober, который возился с вашей системой, был недостаточно компетентен, чтобы не удалить его перед выходом из системы.
Убедитесь, что вы проверили ~/.ssh/authorized_keysфайлы для всех пользователей в системе, проверьте crontabs, чтобы убедиться, что новые порты не планируется открывать в будущем, и т. Д. Хотя вам действительно нужно просто восстановить машину с нуля , это не повредит найти время, чтобы узнать, что сделал злоумышленник.
Обратите внимание, что все журналы, хранящиеся на локальном компьютере, являются подозрительными; единственные журналы, которым вы действительно можете доверять , пересылаются на другую машину, которая не была взломана. Возможно , это стоило бы расследовать централизованную обработку журнала с помощью rsyslog(8)или auditd(8)удаленной обработки машины.