Каморка

Подскажите где он их прячет. Ничего вразумительного наити не могу. В /var/logs чего-то мало. Неужели ето все? Я понимаю что уровень не тот был выставлен изначально, но теперь уж ничего не поделать. А надо наити кто на сервер ходил. В Соляре ето как-то прозрачнее было... или более подробныи уровень стоял.. не помню.
Спасибо.

ir писал(а):Подскажите где он их прячет. Ничего вразумительного наити не могу. В /var/logs чего-то мало. Неужели ето все? Я понимаю что уровень не тот был выставлен изначально, но теперь уж ничего не поделать. А надо наити кто на сервер ходил. В Соляре ето как-то прозрачнее было... или более подробныи уровень стоял.. не помню.
Спасибо.

/var/log

man syslog

А надо наити кто на сервер ходил

как ходил? по ssh?

oblom писал(а):

А надо наити кто на сервер ходил

как ходил? по ssh?

vsyako. po date nado naiti

/var/log/messages

и чекни /etc/syslog.conf

oblom писал(а):/var/log/messages

и чекни /etc/syslog.conf

netu nichego interesnogo v messages.
Ya vizhu v .bash_history ne moi komandy i hotelos' by naiti kto tam byl...
vse, chto v sysloge ya uzhe videla, v smysle files... gde by eshe posmotret'. V logah oracle bol'she infy... chem v os

/var/log/security

а вообще зависит от дистрибутива и /etc/syslog.conf

Аман Ванкуверский писал(а):/var/log/security

а вообще зависит от дистрибутива и /etc/syslog.conf

imenno - depends on the distro. na debian - /var/log/auth.log

last |more

Nick писал(а):last |more

"а потом пришел лесник и всех разогнал"

Если это был удачный взлом, то /var/log/wtmp правится в первую очередь, рекомендую просмотреть содержимое /var/log/messages и
/var/log/secure

если это был "удачный" взлом, то в логах ничего не будет