本地检测方法
查看系统日志
查看安全相关日志
ssh远程登录失败日志
grep -i Failed /var/log/secure
ssh远程登录成功日志
grep -i Accepted /var/log/secure
统计登录成功或登录失败的ip,并进行去重降序排列
grep -i Accepted /var/log/secure |awk '{print $(NF-3)}' |grep '^[0-9]' |sort |uniq -c|sort -rn
grep -i Failed /var/log/secure |awk '{print $(NF-3)}' |egrep '^[0-9]' |sort |uniq -c|sort -rn查看历史用户登录信息 last
查看最后5条登录信息
# last -a -5
查看指定时间之前登录信息
last -a -t 20220923223030
30 20:38:33 2022之前
查看登录系统的用户相关信息
last -a -f /var/log/btmp
查看记录每个用户最后的登入信息
统计当前在线状态
踢掉可疑用户
pkill -kill -t pts/0
注:如果是root用户来登录,最好改密码(密钥)或先锁定该用户,更换ssh登录端口
562
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
