大家好,我是一个喜欢研究算法、机械学习和生物计算的小青年,我的CSDN博客是:一骑代码走天涯
如果您喜欢我的笔记,那么请点一下关注、点赞和收藏。如果內容有錯或者有改进的空间,也可以在评论让我知道。😄
在使用Linux 的时候,曾经试过發现登入用户中有异常的IP地址出现,因此在这儿留个简单笔记,以便日后参考。
检查目前登入系统的用户信息
- 用
w
指令显示目前登入系统的用户信息 - 用
netstat -ap | grep ssh
指令找出特定程式所使用的连接埠,可以查看登入/尝试ssh进来的IP地址。
检查系统的用户登入记录 (需要root权限)
- [只限Debian] 检查 /var/log/auth.log,里面记录了所有尝试登入该电脑的IP地址和相关动作;可配合
grep ##
来显示指定的IP资料 (##
为该IP地址)。 - [只限RedHat] 检查 /var/log/secure,做法同上。
- 利用网上资源 (例如 https://whatismyipaddress.com/ip-lookup) 进一步找出该IP地址所在的地理位置。
检查异常用户的系统动作
- 用
history
指令显示所有指令 (可以先输入export HISTTIMEFORMAT='%F %T '
,然后再用history
就可以仔细检查过去执行过的指令,并对照当时系统的状态。
$ export HISTTIMEFORMAT='%F %T'
$ histroy
- 利用
ps -ef
显示所有进程信息 (或ps aux
列出目前所有的正在内存当中的程序),连同命令行 (也可组合grep
进一步缩小范围,查找特定进程)。