Melihat user Dropbear manual yang

login
Tutorial ini berguna untuk menidentifikasi user yang sedang login pada server
ssh-tunnel yang menggunakan dropbear
gunakan dua perintah sebagai berikut
ps aux | grep -i dropbear

kemudian
cat /var/log/auth.log |

grep -i "Password auth succeeded"

hasilnya kurang lebih sbb

root@us06 ~$ ps aux | grep -i dropbear
root
533 0.0 0.1 3584 2316 ?
Ss 09:54 0:01 /usr/sbin/dropbear -d
/etc/dropbear/dropbear_dss_host_key -r /etc/dropbear/dropbear_rsa_host_key -p 22
110 -p 143 -p 443
root
2809 0.0 0.0 2204 524 ?
Ss Jul29 0:00 /usr/sbin/dropbear -d
/etc/dropbear/dropbear_dss_host_key -r /etc/dropbear/dropbear_rsa_host_key -p 22
110 -p 143 -p 443
root
4554 1.2 0.0 2528 1104 ?
Ss 10:52 0:00 /usr/sbin/dropbear -d
/etc/dropbear/dropbear_dss_host_key -r /etc/dropbear/dropbear_rsa_host_key -p 22
110 -p 143 -p 443
root
4805 0.0 0.0 1888 580 pts/3 S+ 10:52 0:00 grep -i dropbear
root
7945 0.0 0.0 2528 1100 ?
Ss 03:16 0:00 /usr/sbin/dropbear -d
/etc/dropbear/dropbear_dss_host_key -r /etc/dropbear/dropbear_rsa_host_key -p 22
110 -p 143 -p 443
root
7946 0.0 0.0 2528 992 ?
Ss 03:17 0:00 /usr/sbin/dropbear -d
/etc/dropbear/dropbear_dss_host_key -r /etc/dropbear/dropbear_rsa_host_key -p 22
110 -p 143 -p 443
root
27539 0.0 0.0 2528 1032 ?
Ss 05:14 0:00 /usr/sbin/dropbear -d
/etc/dropbear/dropbear_dss_host_key -r /etc/dropbear/dropbear_rsa_host_key -p 22
110 -p 143 -p 443
root
29661 0.0 0.0 2528 1072 ?
Ss 07:16 0:00 /usr/sbin/dropbear -d
/etc/dropbear/dropbear_dss_host_key -r /etc/dropbear/dropbear_rsa_host_key -p 22
110 -p 143 -p 443

-W 65536 -p 80 -p 109 -p
-W 65536 -p 80 -p 109 -p
-W 65536 -p 80 -p 109 -p

-W 65536 -p 80 -p 109 -p
-W 65536 -p 80 -p 109 -p
-W 65536 -p 80 -p 109 -p
-W 65536 -p 80 -p 109 -p

root@us06 ~$ cat /var/log/auth.log | grep -i dropbear | grep -i "Password auth succeeded"

Jul
Jul
Jul
Jul
Jul
Jul
Jul

30
30
30
30
30
30
30

01:08:10
03:14:27
03:16:59
04:29:17
04:44:53
07:18:51
09:55:05

us06
us06
us06
us06
us06
us06
us06

dropbear[6128]: Password auth succeeded for 'mila' from 112.215.44.201:35721

dropbear[7900]: Password auth succeeded for 'root' from 198.46.137.126:38717
dropbear[7945]: Password auth succeeded for 'vpnRouter' from 202.124.205.26:38478
dropbear[26878]: Password auth succeeded for 'root' from 91.204.209.188:41680
dropbear[27132]: Password auth succeeded for 'bayu' from 222.37.177.243:59356
dropbear[29861]: Password auth succeeded for 'bayu' from 112.215.44.156:40480
dropbear[533]: Password auth succeeded for 'bayu' from 112.215.44.156:50492

yang perlu diperhatikan pada perintah pertama adalah kolom ke 2, ambil contoh
root
533 0.0 0.1 3584 2316 ?
Ss 09:54 0:01 /usr/sbin/dropbear -d
/etc/dropbear/dropbear_dss_host_key -r /etc/dropbear/dropbear_rsa_host_key -p 22 -W 65536 -p 80 -p 109 -p
110 -p 143 -p 443

catat angka 533

kemudian untuk perintah ke dua, perhatikan angka pada kurung siku [ ], ambil
contoh
Jul 30 09:55:05 us06 dropbear[533]: Password auth succeeded for 'bayu' from 112.215.44.156:50492

catat angka 533

Kesimpulannya:

jika 533 muncul di kedua perintah tersebut, maka user tersebut sedang login