19,612
社区成员
发帖
与我相关
我的任务
分享用last发现一个非被本人登录的IP,是否就可以判断被入侵了
36开头的这个IP我发现最近两月总是有几次会出现,这样是已经被人入侵了么!另外有没有啥命令或者脚本可以详细记录每次登录的IP地址,时间,操作了那些东西的呢
还有一个就是reboot 的这个为什么会经常出现呢,刚接触linux,有些东西不是很明白
...全文
请发表友善的回复…
发表回复
Ghostbaby 2014-05-27
- 打赏
- 举报
我记得cat /var/log/secure 这个里面是登陆的具体日志 查下
gz109 2014-05-27
- 打赏
- 举报
我看了history日志,发现没异常操作,如果被入侵以后,他可以清除使用过的命令。我这样的日志是可以判断出系统被入侵了吗
Ghostbaby 2014-05-27
- 打赏
- 举报
reboot是硬重启服务器
看看history日志,给你日志加上执行 时间
我建议如果前段没有硬件防火墙的话,用iptables写策略来限制22端口的访问
还有建议检查下服务器的端口是否正常,一般情况下都会留后门,一些异常的端口和服务。
目前建议如果服务不重要或者有备用服务器的话,把这台替换下来,线下来操作。
如果所有服务器的密码都一样的话,建议检查其他同局域网的机器,估计已经被渗透了。
