linux 检查并锁定可疑用户,然后T下线

最新推荐文章于 2023-03-08 13:41:36 发布
最新推荐文章于 2023-03-08 13:41:36 发布
阅读量2.1k 收藏 4
点赞数
分类专栏: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/terry_water/article/details/49420307
版权


在发现服务器被遭受攻击后,首先切断网络连接,但是如果是外网服务器,无法马上切断,必须登录系统查看是否有可疑用户

1.登录系统查看可疑用户

通过root登录,执行w命令,即可列出所有登录过系统的用户

[root@erp ~]# w
 09:32:57 up 17 days, 18:19,  1 user,  load average: 0.00, 0.00, 0.00
USER     TTY      FROM              LOGIN@   IDLE   JCPU   PCPU WHAT
root     pts/0    59.40.117.206    09:27    0.00s  0.00s  0.00s w

2锁定可疑用户:

passwd -l nobody

解锁: 

passwd -u nobody

然后踢下线: 

[root@erp ~]# ps -ef | grep @pts/0
root     30890  2168  0 09:27 ?        00:00:00 sshd: root@pts/0 
root     31274 30892  0 09:36 pts/0    00:00:00 grep @pts/0

kill -9 30890


就可以T下线了

3

 通过last文件查看所有用户登录系统的日志

last的结果输出来源于/var/log/wtmp文件

[root@erp ~]# last
root     pts/0        59.40.117.206    Mon Oct 26 09:27   still logged in   
root     pts/0        59.40.117.206    Mon Oct 26 09:24 - 09:27  (00:03)    
root     pts/0        59.40.116.207    Sat Oct 24 09:42 - 18:20  (08:37)    
root     pts/0        61.141.137.236   Fri Oct 23 10:13 - 12:43  (02:29)    
root     pts/0        61.141.137.236   Thu Oct 22 14:49 - 18:30  (03:40)    
root     pts/2        104.236.171.187  Thu Oct 22 10:12 - 12:39  (02:26)


查看其它系统日志文件:

可查看的系统日志有: 

/var/log/messages     

/var/log/serure









TerryWater
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
论文研究-基于用户偏好和可疑度的推荐方法研究.pdf
07-22
针对传统推荐算法在推荐过程存在忽略用户偏好、用户恶意虚假信息和时间序列等问题,引入用户兴趣模型,结合用户可疑度与时间效应计算更新用户相似度,经过深度学习网络得到最佳推荐目标。为避免出现数据过拟合情况,在利用贪心思想训练用户数据时,给隐含层和可见层均加上了用户偏好,一定程度上提高了深度学习网络的自学习能力。将改进的算法与传统协同过滤推荐算法在MovieLens 数据集上作推荐对比实验,实验结果证明,相对于传统的推荐算法,改进的推荐算法可以大大提高项目推荐的精确度。
Linux安全问题,如何查看哪个用户可疑用户?如何批量删除这些用户
weixin_70208651的博客
01-20 1226
Linux系统被人入侵时,攻击者很可能会尝试新建账户来保持对系统的持久访问。通过创建新的用户账户,攻击者可以更容易地隐藏他们的活动,并在将来重新获得访问权限,即使他们的初步入侵行为被检测到并进行了某些清理工作。我们可以采用一些linux命令,比如/etc/passwd, cat, getent, uerdel, awk等命令来处理。
linux 全功能检测所有可疑用户
haha1314的博客
05-27 1329
#/bin/bash while true do echo "请选择以下功能!!!" echo "---------------------------------passwd-----------------------------------" echo "1、在桌面生成一个----非系统用户.txt" echo "2、在桌面生成一个----系统用户.txt" echo "3、在桌面生成一个-...
Linux用户锁定后如何解锁
qq_41504815的博客
03-08 2523
linux用户锁定后如何解锁
Linux常见系统后门排查命令
热门推荐
weixin_45253622的博客
03-03 1万+
Linux常见系统后门排查命令 1、检查异常账号——cat /etc/passwd 通过检查/etc/passwd,查看有没有可疑系统用户,这个文件是以冒号:进行分割字段,一般我们只要注意第三个字段即可,第三个字段是用户ID,也就是UID,数字0代表超级用户的UID,即这个账号是管理员账号。一般Linux只会配置一个root账号为系统管理员,当出现其他账号是系统管理员的时候,就要注意了,很可能是黑客建立的账号。 2、检查异常登陆 who 查看当前登录用户(tty本地登陆 pts
Linux上强制让某个用户下线
岳麓丹枫
05-14 1521
查看当前登录的用户 [root@vm102 ~]# w 10:28:55 up 24 days, 2:46, 3 users, load average: 0.09, 0.09, 0.08 USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT root pts/0 207.207.80.188 Tue11 2:15 18:42 0.31s -bash root pts/1 2
linux 死锁问题查找方法
yangops的博客
03-28 4087
步骤 pstack 输出进程堆栈信息到文件,查找死锁线程 pstack 进程pid > t.txt Thread 2 (Thread 0x7f934774e700 (LWP 14248)): #0 0x00007f9b3569e54d in __lll_lock_wait () from /lib64/libpthread.so.0 #1 0x00007f9b35699e9b in _L_lock_883 () from /lib64/libpthread.so.0 #2 0x00007
Linux下踢用户下线
long_missing的专栏
06-03 7114
第一次看到,留给记录。 root下输入who就能看到当前登录的用户。  pkill -kill -t pts/0
查看用户是否被锁linux,Linux 锁定用户
weixin_42484858的博客
04-28 6126
pam版本高于0.79才可以启用这个登录锁定功能#一次登录失败就锁60秒,并非在两次登录失败后,才锁60秒,60秒过后又可重新登录,被锁后只能是root通过faillog -u username -r 解锁./etc/pam.d/system-authauth requiredpam_tally.so deny=2 onerr=fail no_magic_root lock...
linux可疑程序追踪
Reformatsky的博客
08-27 3205
今天的主角是旁边的服务器,学姐的Fedora。发生的情况和我的那台ubuntu类似。(看来是一起被黑了)连接虽挡,进程犹在其实昨天已经发现学姐的系统出问题了,采取的措施和我那台一样,iptables直接DROP和可疑IP的连接。今天学姐说,又出现了大流量的上行,而且似乎是通过smb(一个传输工具,可以不改变权限),她担心项目代码泄漏。我过去看了下iptables,发现那条规则没了,于是就有了今天的另
mimic:在Linux以普通用户身份隐藏进程
05-02
mimic是用于在Linux x86_64上秘密执行的工具。 什么是“秘密执行”? 秘密执行是隐藏流程的艺术。 在这种情况下,模拟程序会将进程隐藏在可见的地方。 mimic可以启动任何程序,并使它看起来像任何其他程序。 任何...
详解kali linux 常用文件与指令路径
09-14
主要介绍了kali linux 常用文件与指令路径,文给大家介绍了Linux下MySQL忘记root密码的完美解决方法,非常不错,具有一定的参考借鉴价值 ,需要的朋友可以参考下
Go-glyphcheck检查Go源文件可疑字符
08-13
glyphcheck 检查Go源文件可疑字符
php实现Linux服务器木马排查及加固功能
10-24
主要介绍了php实现Linux服务器木马排查及加固功能,本文给出了根据特征码查找、搜索最近被修改的文件、修改php.ini、修改nginx.conf等方法,需要的朋友可以参考下
2021数学建模美赛C题代码.zip
04-24
最全的数学建模美赛C题和代码、大量刷题题库、逻辑清晰易于学习
这是一个保存Springboot+MyBaits项目的仓库.zip
最新发布
04-24
springboot框架 一、Spring Boot基础应用 Spring Boot特征 概念: 约定优于配置,简单来说就是你所期待的配置与约定的配置一致,那么就可以不做任何配置,约定不符合期待时才需要对约定进行替换配置。 特征: 1. SpringBoot Starter:他将常用的依赖分组进行了整合,将其合并到一个依赖,这样就可以一次性添加到项目的Maven或Gradle构建。 2,使编码变得简单,SpringBoot采用 JavaConfig的方式对Spring进行配置,并且提供了大量的注解,极大的提高了工作效率,比如@Configuration和@bean注解结合,基于@Configuration完成类扫描,基于@bean注解把返回值注入IOC容器。 3.自动配置:SpringBoot的自动配置特性利用了Spring对条件化配置的支持,合理地推测应用所需的bean并自动化配置他们。 4.使部署变得简单,SpringBoot内置了三种Servlet容器,Tomcat,Jetty,undertow.我们只需要一个Java的运行环境就可以跑SpringBoot的项目了
课设&大作业-毕业设计精品课程网站,采用的技术是 SSM 框架和 Shiro.zip
04-24
【资源说明】【毕业设计】 1、该资源内项目代码都是经过测试运行成功,功能正常的情况下才上传的,请放心下载使用。 2、适用人群:主要针对计算机相关专业(如计科、信息安全、数据科学与大数据技术、人工智能、通信、物联网、数学、电子信息等)的同学或企业员工下载使用,具有较高的学习借鉴价值。 3、不仅适合小白学习实战练习,也可作为大作业、课程设计、毕设项目、初期项目立项演示等,欢迎下载,互相学习,共同进步!
c#做的综合上位机,服务于freescale智能车&电子设计.zip
04-24
c#做的综合上位机,服务于freescale智能车&电子设计.zip
tensorflow-gpu-2.7.2-cp39-cp39-manylinux2010-x86-64.whl
04-24
bert
linux检查是否存在异常设置suid权限的执行文件
07-14
检查Linux系统是否存在异常设置了SUID权限的可执行文件,您可以执行以下操作: 1. 使用以下命令列出系统所有具有SUID权限的文件: ``` find / -perm -4000 -type f ``` 这将在整个文件系统搜索并列出...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值