Ich habe auf meinen Servern einen Türspion eingebaut, damit ich informiert werde, wenn sich jemand auf meinen Servern einloggt. Zum Glück bin ich es selbst.
Aber wenn es jemand mal schaffen sollte auf meinen Servern einzudringen, werde ich umgehend per E-Mail benachrichtigt. Der Angreifer hat damit keine Chance seine Einbruchsspuren zu verwischen.
In der systemweiten bashrc wird folgender Einzeiler eingetragen:
echo -e "Login of `whoami` on `hostname` `date`\n`who`"| mail -s "Login of `whoami` on `hostname` `who | awk '{print $5}'`" e-mail@an-mich.de
Quelle: Linux Magazin 07/10 und 08/10
Anonym
Da auf dem Server immer noch mein screen mit ein paar Logins laeuft hab ich n bisschen am Layout geschraubt:
echo "Login on: `hostname` `date` `who`" | mail -s "Login on: `hostname` `last | head -n 1 | awk '{print $2}'`" root@localhost
macht aus dem Einzeiler:
Subject: Login on 00:34 00:36 23:00 12:35 13:14 20:25
Login on Tue Sep 7 13:14:32 CEST 2010 xyz pts/0 Aug 20 00:34 (:22.0) c pts/2 Aug 21 00:36 (:22.0) xyz pts/1 May 9 23:00 (:S.0) xyz pts/3 Apr 10 12:35 (:S.2) xyz pts/5 Sep 7 13:14 (.adsl.alicedsl.de) xyz pts/8 Aug 17 20:25 (:S.1)i
Subject: Login on: pv462.ncsrv.de pts/5
Login on: Tue Sep 7 13:21:32 CEST 2010 xyz pts/0 Aug 20 00:34 (:22.0)
xyz pts/2 Aug 21 00:36 (:22.0)
xyz pts/1 May 9 23:00 (v:S.0)
xyz pts/3 Apr 10 12:35 (:S.2)
xyz pts/5 Sep 7 13:21 (.adsl.alicedsl.de)
xyz pts/8 Aug 17 20:25 (:S.1)
Marc Rische