lastlog(8)yapılandırdıysanız , en son bilgileri /var/log/lastlogtesisten rapor eder pam_lastlog(8).
aulastlog(8)benzer bir rapor hazırlar, ancak denetimden giriş yapar /var/log/audit/audit.log. ( auditd(8)Kayıtların kurcalanmasından daha zor olduğu için önerilir syslog(3).)
ausearch -c sshddenetim günlüklerinizden sshdişlem raporlarını arar .
last(8)/var/log/wtmpen son girişleri arayacaktır . lastb(8)gösterecektir bad login attempts.
/root/.bash_history sisteminizle uğraşan goober'ın oturumu kapatmadan önce kaldıramayacak kadar yetersiz olduğunu varsayarak bazı ayrıntılar içerebilir.
Eğer kontrol etmeyi olun ~/.ssh/authorized_keysdosyaları tüm kullanıcılar sistemde, onay crontabs emin yeni limanlar iken vb gelecekte, bir noktada açılacak planlanan yapmak için gerçekten sadece sıfırdan makineyi yeniden gerekir , bu zarar olmaz saldırganın ne yaptığını öğrenmek için zaman ayırın.
Yerel makinede depolanan tüm günlüklerin şüpheli olduğunu unutmayın; gerçekçi olarak güvenebileceğiniz günlükler, başkaları tarafından ele geçirilmeyen başka bir makineye yönlendirilir. Belki de merkezi günlük işlemeyi rsyslog(8)veya auditd(8)uzaktan makine işlemeyi araştırmaya değer .