lastlog(8)akan melaporkan informasi terbaru dari /var/log/lastlogfasilitas, jika Anda telah pam_lastlog(8)mengkonfigurasi.
aulastlog(8)akan membuat laporan serupa, tetapi dari audit masuk /var/log/audit/audit.log. (Disarankan, karena auditd(8)catatan lebih sulit untuk dirusak daripada syslog(3)catatan.)
ausearch -c sshdakan mencari laporan audit Anda dari sshdproses.
last(8)akan mencari /var/log/wtmpinfo masuk terbaru. lastb(8)akan ditampilkan bad login attempts.
/root/.bash_history mungkin berisi beberapa detail, dengan asumsi goober yang mengutak-atik sistem Anda tidak cukup kompeten untuk tidak menghapusnya sebelum logout.
Pastikan Anda memeriksa ~/.ssh/authorized_keysfile untuk semua pengguna pada sistem, periksa crontabuntuk memastikan tidak ada port baru yang dijadwalkan akan dibuka di beberapa titik di masa depan, dll. Meskipun Anda benar-benar harus hanya membangun kembali mesin dari awal , tidak ada salahnya meluangkan waktu untuk mempelajari apa yang dilakukan penyerang.
Perhatikan bahwa semua log yang disimpan pada mesin lokal dicurigai; satu-satunya log yang bisa Anda percayai secara realistis diteruskan ke komputer lain yang tidak dikompromikan. Mungkin ada baiknya menyelidiki penanganan log terpusat melalui rsyslog(8)atau auditd(8)penanganan mesin jarak jauh.