CentOS系統(tǒng)通過日志反查是否被入侵

更新時間：2016年08月30日 09:19:23 投稿：daisy

最近有個朋友的服務器發(fā)現(xiàn)有入侵的痕跡后來處理解決但是由于對方把日志都清理了無疑給排查工作增加了許多難度。其實日志的作用是非常大的。學會使用通過日志來排查解決我們工作中遇到的一些問題是很有必要的。下面就一一道來。

一、查看日志文件

Linux查看/var/log/wtmp文件查看可疑IP登陸

 last -f /var/log/wtmp

該日志文件永久記錄每個用戶登錄、注銷及系統(tǒng)的啟動、停機的事件。因此隨著系統(tǒng)正常運行時間的增加，該文件的大小也會越來越大，

增加的速度取決于系統(tǒng)用戶登錄的次數(shù)。該日志文件可以用來查看用戶的登錄記錄，last命令就通過訪問這個文件獲得這些信息，并以反序從后向前顯示用戶的登錄記錄，last也能根據用戶、終端tty或時間顯示相應的記錄。

查看/var/log/secure文件尋找可疑IP登陸次數(shù)

二、腳本生產所有登錄用戶的操作歷史

在linux系統(tǒng)的環(huán)境下，不管是root用戶還是其它的用戶只有登陸系統(tǒng)后用進入操作我們都可以通過命令history來查看歷史記錄，可是假如一臺服務器多人登陸，一天因為某人誤操作了刪除了重要的數(shù)據。這時候通過查看歷史記錄（命令：history）是沒有什么意義了（因為history只針對登錄用戶下執(zhí)行有效，即使root用戶也無法得到其它用戶histotry歷史）。

那有沒有什么辦法實現(xiàn)通過記錄登陸后的IP地址和某用戶名所操作的歷史記錄呢？

答案：有的。

通過在/etc/profile里面加入以下代碼就可以實現(xiàn)：

PS1="`whoami`@`hostname`:"'[$PWD]'
history
USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]
then
USER_IP=`hostname`
fi
if [ ! -d /tmp/dbasky ]
then
mkdir /tmp/dbasky
chmod 777 /tmp/dbasky
fi
if [ ! -d /tmp/dbasky/${LOGNAME} ]
then
mkdir /tmp/dbasky/${LOGNAME}
chmod 300 /tmp/dbasky/${LOGNAME}
fi
export HISTSIZE=4096
DT=`date "+%Y-%m-%d_%H:%M:%S"`
export HISTFILE="/tmp/dbasky/${LOGNAME}/${USER_IP} dbasky.$DT"
chmod 600 /tmp/dbasky/${LOGNAME}/*dbasky* 2>/dev/null
source /etc/profile 使用腳本生效

退出用戶，重新登錄

上面腳本在系統(tǒng)的/tmp新建個dbasky目錄，記錄所有登陸過系統(tǒng)的用戶和IP地址（文件名），每當用戶登錄/退出會創(chuàng)建相應的文件，該文件保存這段用戶登錄時期內操作歷史，可以用這個方法來監(jiān)測系統(tǒng)的安全性。

root@zsc6:[/tmp/dbasky/root]ls

10.1.80.47 dbasky.2013-10-24_12:53:08

root@zsc6:[/tmp/dbasky/root]cat 10.1.80.47 dbasky.2013-10-24_12:53:08

三、總結

以上就是這篇文章的全部內容，希望對大家維護服務器安全能有所幫助，如果有疑問可以留言交流。

您可能感興趣的文章:

游戲服務器開發(fā)的基本體系與服務器端開發(fā)的一些建議
剛開始時以為做游戲服務器和做web差不多，但是經過一段時間之后，才發(fā)現(xiàn)代碼太多，太亂了，一看代碼都想重構，都是踩著坑往前走。這里我把一些游戲開發(fā)方面的東西整理一下，希望能對那些想做游戲服務器開發(fā)的朋友有所幫助
2017-07-07
CentOS簡單操作命令及node.js的安裝方法
這篇文章主要介紹了CentOS簡單操作命令及node.js的安裝方法,列舉了CentOS的常用查看命令及安裝node.js的方法,需要的朋友可以參考下
2016-05-05
查找服務器變慢的方法
服務器慢如何查找，查找服務器變慢的辦法有哪些，下面由腳本之家小編幫大家解決此問題，需要的朋友可以一起看看吧
2015-09-09
ssh服務器拒絕了密碼請再試一次已解決(親測有效)
這篇文章主要介紹了解決ssh服務器拒絕了密碼請再試一次的問題,本文通過兩種方法給大家介紹的非常詳細，對大家的學習或工作具有一定的參考借鑒價值，需要的朋友可以參考下
2022-08-08
在mac上安裝虛擬機搭載Windows服務的方法
這篇文章主要介紹了在mac上安裝虛擬機搭載Windows服務的方法，本文通過圖文并茂的形式給大家介紹的非常詳細，具有一定的參考借鑒價值,需要的朋友可以參考下
2019-12-12
使用gitlab在服務器上搭建私服git倉庫并上傳項目的操作方法
這篇文章主要介紹了使用gitlab在服務器上搭建私服git倉庫，并且上傳項目,本文給大家介紹的非常詳細，對大家的學習或工作具有一定的參考借鑒價值，需要的朋友可以參考下
2023-12-12
詳解微服務架構及其演進史
在很多項目的業(yè)務初期階段，高速迭代上線是首要考慮的事情，對后期的容量預估、可擴展性和系統(tǒng)健壯性、高可用一般沒有那么重視。但隨著業(yè)務的發(fā)展，用戶量、請求量的暴增發(fā)現(xiàn)原來的單體系統(tǒng)已經遠遠不滿足需求了，特別是隨著互聯(lián)網整體的高速發(fā)展，對系統(tǒng)的要求越來越高
2022-01-01
Cisco網絡防火墻配置方法
這篇文章主要介紹了Cisco網絡防火墻配置方法,需要的朋友可以參考下
2016-04-04
Visual Studio Code(vscode) git的使用教程
這篇文章主要介紹了詳解Visual Studio Code(vscode) git的使用，小編覺得挺不錯的，現(xiàn)在分享給大家，也給大家做個參考。一起跟隨小編過來看看吧
2017-11-11
WampServer下如何配置多域名
這篇文章主要介紹了WampServer下如何配置多域名的相關資料,需要的朋友可以參考下
2015-10-10