在发现服务器被遭受攻击后,首先切断网络连接,但是如果是外网服务器,无法马上切断,必须登录系统查看是否有可疑用户。
1.登录系统查看可疑用户
通过root登录,执行w命令,即可列出所有登录过系统的用户
[root@erp ~]# w
09:32:57 up 17 days, 18:19, 1 user, load average: 0.00, 0.00, 0.00
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root pts/0 59.40.117.206 09:27 0.00s 0.00s 0.00s w
2.锁定可疑用户:
passwd -l nobody
解锁:
passwd -u nobody
然后踢下线:
[root@erp ~]# ps -ef | grep @pts/0
root 30890 2168 0 09:27 ? 00:00:00 sshd: root@pts/0
root 31274 30892 0 09:36 pts/0 00:00:00 grep @pts/0
kill -9 30890
就可以T下线了。
3.通过last文件查看所有用户登录系统的日志
last的结果输出来源于/var/log/wtmp文件
[root@erp ~]# last
root pts/0 59.40.117.206 Mon Oct 26 09:27 still logged in
root pts/0 59.40.117.206 Mon Oct 26 09:24 - 09:27 (00:03)
root pts/0 59.40.116.207 Sat Oct 24 09:42 - 18:20 (08:37)
root pts/0 61.141.137.236 Fri Oct 23 10:13 - 12:43 (02:29)
root pts/0 61.141.137.236 Thu Oct 22 14:49 - 18:30 (03:40)
root pts/2 104.236.171.187 Thu Oct 22 10:12 - 12:39 (02:26)
4.查看其它系统日志文件:
可查看的系统日志有:
/var/log/messages
/var/log/serure
Linux使用PAM锁定多次登陆失败的用户:http://www.linuxdiyf.com/linux/2905.html