Ungültige Anmeldeversuche können mit dem Befehl lastb verfolgt werden stellte die Datei /var/log/wtmp bereit ist anwesend. Einige der möglichen Ursachen für falsche oder fehlerhafte Anmeldeversuche sind unten aufgeführt:
- Aufgrund eines Tippfehlers wurde beim Login ein falsches Passwort eingegeben.
- Das Passwort des Benutzers hat sich geändert, der in Cron verwendet wurde, um sich über ssh zu verbinden.
- Wenn ein Hacker versucht, sich mit einer zufälligen / gemeinsamen Benutzer-ID zu verbinden.
Last login: Sat Apr 21 16:24:24 UTC 2018 on pts/3 Last failed login: Sat Apr 21 17:44:04 UTC 2018 from 185.189.58.212.ptr.cy4n.net on ssh:notty There was 1 failed login attempt since the last successful login.
Die Beispielausgabe des lastb-Befehls ist unten angegeben.
# lastb -a | more admin ssh:notty Sat Apr 21 17:44 - 17:44 (00:00) 185.189.58.212.ptr.cy4n.net admin ssh:notty Sat Apr 21 17:44 - 17:44 (00:00) 185.189.58.212.ptr.cy4n.net admin ssh:notty Sat Apr 21 17:44 - 17:44 (00:00) 185.189.58.212.ptr.cy4n.net admin ssh:notty Sat Apr 21 17:44 - 17:44 (00:00) 185.189.58.212.ptr.cy4n.net ...
Die Befehle last und lastb durchsuchen die Datei /var/log/wtmp (oder die durch das Flag -f gekennzeichnete Datei) und zeigen eine Liste aller seit der Erstellung dieser Datei an- (und abgemeldeten) Benutzer an. Sie können diese Datei berühren, falls sie noch nicht vorhanden ist.
# touch /var/log/wtmp
Sowohl last als auch lastb melden den Inhalt von /var/log/wtmp. Standardmäßig werden Monat, Tag und Uhrzeit des Ereignisses gemeldet. In dieser Datei können sich jedoch Daten aus mehreren Jahren befinden, und Monat/Tag kann verwirrend sein. Das -F flag meldet das vollständige Datum:
# lastb -F | more user ssh:notty 1.186.112.64 Sun Apr 22 03:49:47 2018 - Sun Apr 22 03:49:47 2018 (00:00) user ssh:notty 1.186.112.64 Sun Apr 22 03:49:44 2018 - Sun Apr 22 03:49:44 2018 (00:00) user ssh:notty 1.186.112.64 Sun Apr 22 03:49:40 2018 - Sun Apr 22 03:49:40 2018 (00:00) ...Hinweis :Das Abrechnungssystem auf Ihrem Computer verfolgt die Benutzerstatistiken und wird in der aktuellen /var/log/wtmp-Datei gespeichert. Diese Datei wird von den Init- und Login-Prozessen verwaltet.