linux 知道IP如何判断系统是否被异常改动
该篇用于简单的业务内容回溯,用于排查错误和检测是否被入侵,大神请勿喷= 。=!
系统环境 Centos7
主要用到的命令:
iftop(流量查看工具,可以用你自己习惯的)
last(用户登录列表)
who(目前登录的用户)
grep(配合管道" | "用于查找文件里符合条件的字符串)
history(查看历史命令1000条,注意内容是被保存在内存中的重启过服务器后会删除历史记录的)
1.首先直观的查看IP流量我这里用了iftop工具,也可以用自己熟悉的工具
yum install iftop -y
直接 iftop
[root@StrikingOptimistic-VM ~]# iftop
2.打个比方想查看目前谁在登录服务器
[root@StrikingOptimistic-VM ~]# who
root pts/0 2021-02-01 21:26 (124.XXX.XXX.200)
root pts/1 2021-02-01 21:26 (124.XXX.XXX.200)
3.查看某个登录服务器的用户信息
[root@StrikingOptimistic-VM ~]# last |gerp 124.XXX.XXX.200
root pts/1 124.XXX.XXX.200 Mon Feb 1 21:26 still logged in
root pts/0 124.XXX.XXX.200 Mon Feb 1 21:26 still logged in
root pts/1 124.XXX.XXX.200 Mon Feb 1 21:18 - 21:22 (00:03)
4.在使用history命令前先给环境变量添加上时间戳好判断命令操作的时间
vim /etc/profile (vim按i是编辑, 先ESC 然后:wq是保存)
在最后添加 export HISTTIMEFORMAT="%Y-%m-%d %H:%M:%S " 如下图
添加完成后可以 source /etc/profile 保存执行新的环境变量 或重新ssh登录。
之后用history 查看历史操作记录会可以按照想要的时间进行筛选
[root@StrikingOptimistic-VM ~]# history |grep "2021-02-01 21:40"
689 2021-02-01 21:40:14 history |grep "2021-02-01 21:26"
690 2021-02-01 21:40:52 date
691 2021-02-01 21:41:00 history |grep "2021-02-01 21:40"
参考链接
https://www.cnblogs.com/luruiyuan/p/13335860.html