Melihat riwayat login SSH

Namanya musibah selalu datang tiba – tiba. 😥 Kali ini untungnya tidak ada data penting dan bisa dibackup semuanya. Karena VPSnya tinggal dibumihanguskan saja jadi sekalian saya buat eksperimen. Prosedurnya sama dengan saat saya diagnosa malware dan adanya bot dalam server. Tapi kali ini saya ingat untuk melihat daftar login SSH ke VPS tersebut dan apakah ada yang diluar kewajaran.

Untuk melihat daftar login dari semua user yang ada dalam Linux kita bisa memanfaatkan perintah berikut:

lastlog

Dan akan dibalas seperti ini:

Username         Port     From             Latest
root             pts/0    192.168.1.42    Thu Aug  4 20:03:05 -0400 2016
bin                                        **Never logged in**
daemon                                     **Never logged in**
adm                                        **Never logged in**
lp                                         **Never logged in**
sync                                       **Never logged in**
shutdown                                   **Never logged in**
halt                                       **Never logged in**
mail                                       **Never logged in**
operator                                   **Never logged in**
games                                      **Never logged in**
ftp                                        **Never logged in**
nobody                                     **Never logged in**
avahi-autoipd                              **Never logged in**
dbus                                       **Never logged in**
polkitd                                    **Never logged in**
tss                                        **Never logged in**
postfix                                    **Never logged in**
sshd                                       **Never logged in**
systemd-bus-proxy                           **Never logged in**
systemd-network                            **Never logged in**

Fungsinya sudah jelas, username apa telah login ke dalam Linux dan kapan waktunya. Dan ternyata kok root saja. Haha. 😀

Ada satu lagi untuk melengkapi, yakni riwayat login SSH yang berhasil:

last

Akan muncul informasi yang mirip:

root     pts/0        192.168.1.42    Thu Aug  4 20:03   still logged in   
root     pts/0        192.168.1.45    Sun Jul 31 20:23 - 22:38  (02:15)    
root     pts/0        192.168.1.10    Mon Jul 25 19:41 - 00:22  (04:41)    
root     pts/0        192.168.1.14    Sun Jul 24 18:33 - 20:16  (01:43)    
root     pts/0        192.168.1.25    Sat Jul 23 13:14 - 13:33  (00:19)    
root     pts/0        192.168.1.25    Wed Jul 20 18:55 - 19:12  (00:17)    
root     pts/0        192.168.1.9     Tue Jul 19 11:17 - 15:14  (03:56)    
root     pts/0        192.168.1.9     Mon Jul 18 21:50 - 23:01  (01:10)    
reboot   system boot  3.10.0-229.el7.x Mon Jul 18 21:50 - 20:45 (16+22:55)  
reboot   system boot  3.10.0-229.el7.x Mon Jul 18 21:47 - 21:49  (00:02)    
reboot   system boot  3.10.0-229.el7.x Mon Jul 18 21:46 - 21:49  (00:03)

Akan muncul daftar user – user yang terakhir login dalam Linux dan ditampilkan secara urut dari yang terbaru. Darisini anda bisa melihat lebih detail apakah ada user lain yang tidak seharusnya ada dan apakah ada yang login diluar akses anda sendiri.

Aslinya memang bukan SSH saja yang dicatat, tapi karena VPS yang kita bicarakan maka jalurnya untuk masuk ya cuma itu dan mungkin protokol – protokol lain.

Tinggalkan komentar