本地检测方法
查看系统日志
查看安全相关日志
ssh远程登录失败日志
grep -i Failed /var/log/secure
ssh远程登录成功日志
grep -i Accepted /var/log/secure
统计登录成功或登录失败的ip,并进行去重降序排列
grep -i Accepted /var/log/secure |awk '{print $(NF-3)}' |grep '^[0-9]' |sort |uniq -c|sort -rn
grep -i Failed /var/log/secure |awk '{print $(NF-3)}' |egrep '^[0-9]' |sort |uniq -c|sort -rn查看历史用户登录信息 last
查看最后5条登录信息
# last -a -5
查看指定时间之前登录信息
last -a -t 20220923223030
30 20:38:33 2022之前
查看登录系统的用户相关信息
last -a -f /var/log/btmp
查看记录每个用户最后的登入信息
统计当前在线状态
踢掉可疑用户
pkill -kill -t pts/0
注:如果是root用户来登录,最好改密码(密钥)或先锁定该用户,更换ssh登录端口
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
文章由极客之音整理,本文链接:https://www.bmabk.com/index.php/post/77376.html
