Melihat riwayat login SSH
Namanya musibah selalu datang tiba – tiba. 😥 Kali ini untungnya tidak ada data penting dan bisa dibackup semuanya. Karena VPSnya tinggal dibumihanguskan saja jadi sekalian saya buat eksperimen. Prosedurnya sama dengan saat saya diagnosa malware dan adanya bot dalam server. Tapi kali ini saya ingat untuk melihat daftar login SSH ke VPS tersebut dan apakah ada yang diluar kewajaran.
Untuk melihat daftar login dari semua user yang ada dalam Linux kita bisa memanfaatkan perintah berikut:
lastlog
Dan akan dibalas seperti ini:
Username Port From Latest
root pts/0 192.168.1.42 Thu Aug 4 20:03:05 -0400 2016
bin **Never logged in**
daemon **Never logged in**
adm **Never logged in**
lp **Never logged in**
sync **Never logged in**
shutdown **Never logged in**
halt **Never logged in**
mail **Never logged in**
operator **Never logged in**
games **Never logged in**
ftp **Never logged in**
nobody **Never logged in**
avahi-autoipd **Never logged in**
dbus **Never logged in**
polkitd **Never logged in**
tss **Never logged in**
postfix **Never logged in**
sshd **Never logged in**
systemd-bus-proxy **Never logged in**
systemd-network **Never logged in**
Fungsinya sudah jelas, username apa telah login ke dalam Linux dan kapan waktunya. Dan ternyata kok root saja. Haha. 😀
Ada satu lagi untuk melengkapi, yakni riwayat login SSH yang berhasil:
last
Akan muncul informasi yang mirip:
root pts/0 192.168.1.42 Thu Aug 4 20:03 still logged in
root pts/0 192.168.1.45 Sun Jul 31 20:23 - 22:38 (02:15)
root pts/0 192.168.1.10 Mon Jul 25 19:41 - 00:22 (04:41)
root pts/0 192.168.1.14 Sun Jul 24 18:33 - 20:16 (01:43)
root pts/0 192.168.1.25 Sat Jul 23 13:14 - 13:33 (00:19)
root pts/0 192.168.1.25 Wed Jul 20 18:55 - 19:12 (00:17)
root pts/0 192.168.1.9 Tue Jul 19 11:17 - 15:14 (03:56)
root pts/0 192.168.1.9 Mon Jul 18 21:50 - 23:01 (01:10)
reboot system boot 3.10.0-229.el7.x Mon Jul 18 21:50 - 20:45 (16+22:55)
reboot system boot 3.10.0-229.el7.x Mon Jul 18 21:47 - 21:49 (00:02)
reboot system boot 3.10.0-229.el7.x Mon Jul 18 21:46 - 21:49 (00:03)
Akan muncul daftar user – user yang terakhir login dalam Linux dan ditampilkan secara urut dari yang terbaru. Darisini anda bisa melihat lebih detail apakah ada user lain yang tidak seharusnya ada dan apakah ada yang login diluar akses anda sendiri.
Aslinya memang bukan SSH saja yang dicatat, tapi karena VPS yang kita bicarakan maka jalurnya untuk masuk ya cuma itu dan mungkin protokol – protokol lain.