我用的是CentOS7.4
一、先从linux日志下手排查
1.1、linux日志默认存放位置:/var/log/
1.2、必看日志:/var/log/secure、/var/log/history
/var/log/lastlog 记录系统所有用户最后一次登录时间的日志 /var/log/secure 记录验证和授权方面的信息、只要登录linux都会被记录,甚至添加、修改用户都会记录
1、查看secure日志的最后15行:
2、查看有多少ip在爆破服务的root账号:哈,还真不少
grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr
3、查看成功登录过的ip有哪些:只有两个,两个都是我自己使用过的电脑连接的服务器,看来没有被黑进来过
grep "Accepted" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
4、查看登录成功的日期、用户名、ip:
grep "Accepted" /var/log/secure | awk '{print $1, $2, $3, $9, $11}'
5、查看服务器所有用户最近一次登录信息:
lastlog
二、查看服务器的cpu占用率
1、如果某个程序不是自己的项目程序,并且占用率超过70%,大概率是中了挖矿病毒
ps aux --sort -pcpu
2、动态查看进程使用情况:top
。
标签:sort,secure,查看,攻击,var,服务器,日志,log From: https://www.cnblogs.com/spll/p/17516714.html