Linux 异常登入简易排查手法

最新推荐文章于 2024-03-14 10:45:03 发布
最新推荐文章于 2024-03-14 10:45:03 发布
阅读量793 收藏
点赞数 2
分类专栏: linux 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_48922254/article/details/115515450
版权

大家好,我是一个喜欢研究算法、机械学习和生物计算的小青年,我的CSDN博客是:一骑代码走天涯
如果您喜欢我的笔记,那么请点一下关注、点赞和收藏。如果內容有錯或者有改进的空间,也可以在评论让我知道。😄

在使用Linux 的时候,曾经试过發现登入用户中有异常的IP地址出现,因此在这儿留个简单笔记,以便日后参考。

检查目前登入系统的用户信息

  1. w指令显示目前登入系统的用户信息
  2. netstat -ap | grep ssh指令找出特定程式所使用的连接埠,可以查看登入/尝试ssh进来的IP地址。

检查系统的用户登入记录 (需要root权限)

  1. [只限Debian] 检查 /var/log/auth.log,里面记录了所有尝试登入该电脑的IP地址和相关动作;可配合grep ## 来显示指定的IP资料 (##为该IP地址)。
  2. [只限RedHat] 检查 /var/log/secure,做法同上。
  3. 利用网上资源 (例如 https://whatismyipaddress.com/ip-lookup) 进一步找出该IP地址所在的地理位置。

检查异常用户的系统动作

  1. history指令显示所有指令 (可以先输入export HISTTIMEFORMAT='%F %T ',然后再用history​就可以仔细检查过去执行过的指令,并对照当时系统的状态。
$ export HISTTIMEFORMAT='%F %T'
$ histroy
  1. 利用ps -ef显示所有进程信息 (或ps aux列出目前所有的正在内存当中的程序),连同命令行 (也可组合grep 进一步缩小范围,查找特定进程)。
一骑代码走天涯
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux服务器被ddos攻击记录日志,如何快速查看您的Linux服务器是否遭到来自某个IP地址的DDoS攻击?...
weixin_31231693的博客
04-28 1526
【51CTO.com快译】如果您的数据中心中有Linux服务器,或者将它们托管在云服务器(比如AWS、谷歌云或Azure)上,不能因为您所部署的操作系统就想当然地认为它们是安全的。即使Linux是市面上最安全的操作系统之一,它也并非尽善尽美。实际上,针对该平台的攻击有所增加,随着Linux日渐普及,攻击会愈演愈烈。您在做什么?如果您怀疑其中一台服务器可能遭到了攻击,需要加以检查。怎么检查?我将向您...
debian ssh登陆失败统计
thejtechs的专栏
09-16 1219
今天无意中查看系统日志的时候看到有些ssh登陆失败的日志,本来想写个perl程序统计的,后来发现直接命令行就很简单,看来Linux命令还是不熟练啊,继续努力啊。:)   在debain下ssh的登陆日志保存在/var/log/auth.log中 查看 tac /var/log/auth.log | more 这里tac是cat命令的反向,cat命令是输出文件从头到尾,tac命令是从尾到头
Linux lastb命令教程:查看失败登录尝试(附案例详解和注意事项)
u012964600的博客
02-29 1058
lastb命令是Linux系统中的一个命令,它用于显示系统中所有的失败登录尝试。
linux 环境异常登录的甄别方法
MJLJY的博客
12-14 977
linux登录记录
Linux 登陆失败查询
nukix
12-24 868
最近笔者购买的 VPS 中发现一堆登陆失败信息, 因此写下本文记录登陆失败查询的步骤。如果不是自己登陆失败, 那么一定是黑客使用暴力算法不断的尝试账号和密码, 如果不采取措施, 那么密码账号和密码就有概率被跑出来, 服务器也将被盗。
Linux查找系统异常登录
enough_br的专栏
01-12 1166
当我们感觉系统异常或者被入侵之后,会需要查看系统异常登陆记录,以下是一些方法小结,也算是备忘。 1、查 message 1 cat /var/log/message 2 cat /var/log/message.1 3 cat /var/log/messag
Linux应急响应辅助排查脚本
10-20
Linux应急响应辅助排查脚本 一键运行导出日志 将该脚本下载并移动到Linux任意文件夹,以root权限运行即可导出result.log辅助快速应急响应主机排查。 可使用此脚本用于分析日常服务器差异及被攻击行为。
Linux系统故障分析与排查
02-21
Linux系统中,同样需要进行大量的备份来完成系统的维护工作,并且使用复制粘贴命令即可完成,在接下来的时间中介绍一些关于Linux系统故障分析与排查的操作。日志服务器的部署通过一台RHEL5作为日志服务器A,一台...
Linux入侵排查.docx
05-07
Linux 入侵排查 Linux 入侵排查是指在 ...Linux 入侵排查需要对系统进行逐步检查和分析,包括账号安全、历史命令、异常端口和异常进程等方面,以检测和处理可能的入侵行为,保护企业的网络信息系统和减少经济损失。
Linux操作系统安全及入侵排查
09-30
2、Linux系统被入侵后可能出现的异常现象,通过这些异常特征来判断系统是否被入侵。课程还介绍了针对系统入侵的应急排查步骤和要求,主要涉及的排查内容包括:检查系统日志及命令记录 、检查账户、检查文件、检查...
linux异常登录分析案例
完颜振江
02-15 464
Linux 异常登录分析是指检测和分析系统上的非正常登录行为,以识别可能的安全威胁或风险。这通常涉及监视登录日志(如)并分析其中的登录活动。
linux查看远程连接的ip,linux 检查远程登录IP,并发送告警
weixin_32532029的博客
05-04 1763
需求简介记录操作命令的记录定时检查IP,是否是合法IP发送告警historyhistory 可以记录终端的操作命令。编辑/etc/bashrc修改对应的格式变量if [ "$SSH_CONNECTION" == "" ]thenSSH_CONNECTION=localhostfiexport HISTTIMEFORMAT="%F %T"\ "$(echo $SSH_CONNECTION|awk '...
Linux查看访问IP以及统计日志访问最多的IP ,以及安全的问题
行走天下
11-03 1万+
Linux 系统有很多用于快速处理数据的工具如grep,awk,cut,sort,uniq,sort可以帮助我们分析网络情况 , 他们非常非常地好用 , 如果你熟练掌握他们的使用技巧 , 他们则可以帮你快速定位问题 ; 接下来一步步来查看访问系统的 IP 情况 通过netstat -ntu, 找出通过 tcp 和 udp 连接服务器的 IP 地址列表 : [roo...
linux查看服务器登录成功和登录失败的命令
最新发布
weixin_46627652的博客
03-14 920
【代码】linux查看服务器登录成功和登录失败的命令。
Linux排查异常登录异常操作
qq_34362409的博客
11-24 2240
Linux查找系统异常登录的各种方案 1、查 message cat /var/log/message cat /var/log/message.1 cat /var/log/message.2 cat /var/log/message.3 cat /var/log/message.4 2、查 secure cat /var/log/secure cat /var/log/secure.1 cat /var/log/secure.2 cat /var/log/secure.3 cat /var/log/s
Linux系统异常排查(main)
风的专栏
06-05 4858
Linux系统异常排查流程图:Centos下查看cpu、磁盘、内存使用情况以及如何清理内存
查看linux登录失败登录信息日志,last,lastb
热门推荐
江南岸
09-18 2万+
last 查看登录成功的用户的历史信息 [root@10-25-117-219 log]# last wangmeng pts/5 125.70.178.200 Tue Sep 18 19:02 - 19:04 (00:02) wangmeng pts/4 125.70.178.200 Tue Sep 18 18:48 still logged in...
Linux - 查看用户登录记录
weixin_30477293的博客
05-11 2775
有关用户登录的信息记录在 utmp(/var/run/utmp)、wtmp(/var/log/wtmp)、btmp(/var/log/btmp) 和 lastlog(/var/log/lastlog) 等文件中。 who、w 和 users 等命令通过 utmp(/var/run/utmp) 文件查询当前登录用户的信息。last 和 ac 命令通过 wtmp(/var/log/wtmp) 文件查...
Linux常见系统后门排查命令
weixin_45253622的博客
03-03 1万+
Linux常见系统后门排查命令 1、检查异常账号——cat /etc/passwd 通过检查/etc/passwd,查看有没有可疑的系统用户,这个文件是以冒号:进行分割字段,一般我们只要注意第三个字段即可,第三个字段是用户ID,也就是UID,数字0代表超级用户的UID,即这个账号是管理员账号。一般Linux只会配置一个root账号为系统管理员,当出现其他账号是系统管理员的时候,就要注意了,很可能是黑客建立的账号。 2、检查异常登陆 who 查看当前登录用户(tty本地登陆 pts
linux异常重启原因排查
03-16
Linux异常重启的原因可能有很多,需要进行排查才能确定具体原因。一般来说,可以从以下几个方面入手: 1. 查看系统日志:可以通过查看/var/log/messages或/var/log/syslog等系统日志文件,查看系统在重启前的异常情况,例如是否有内存溢出、磁盘IO错误等。 2. 检查硬件:异常重启也可能是由于硬件故障引起的,例如CPU过热、内存损坏等。可以通过检查硬件状态、运行硬件诊断工具等方式来排查。 3. 检查软件:异常重启也可能是由于软件问题引起的,例如应用程序崩溃、系统服务异常等。可以通过检查系统日志、应用程序日志等方式来排查。 4. 检查系统配置:异常重启也可能是由于系统配置问题引起的,例如内核参数设置不当、文件系统损坏等。可以通过检查系统配置文件、内核参数等方式来排查。 总之,排查Linux异常重启的原因需要综合考虑多个方面,进行全面的分析和排查
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值