linux 知道IP如何判断系统是否被异常改动

该篇用于简单的业务内容回溯，用于排查错误和检测是否被入侵，大神请勿喷= 。=！

系统环境  Centos7

主要用到的命令：

iftop（流量查看工具，可以用你自己习惯的） 

last(用户登录列表) 

who（目前登录的用户） 

grep（配合管道" | "用于查找文件里符合条件的字符串）

history（查看历史命令1000条，注意内容是被保存在内存中的重启过服务器后会删除历史记录的）

---

1.首先直观的查看IP流量我这里用了iftop工具，也可以用自己熟悉的工具

yum install iftop -y

直接 iftop

[root@StrikingOptimistic-VM ~]# iftop

2.打个比方想查看目前谁在登录服务器

[root@StrikingOptimistic-VM ~]# who

root    pts/0        2021-02-01 21:26 (124.XXX.XXX.200)

root    pts/1        2021-02-01 21:26 (124.XXX.XXX.200)

3.查看某个登录服务器的用户信息

[root@StrikingOptimistic-VM ~]# last |gerp  124.XXX.XXX.200

root    pts/1        124.XXX.XXX.200  Mon Feb  1 21:26  still logged in 

root    pts/0        124.XXX.XXX.200  Mon Feb  1 21:26  still logged in 

root    pts/1        124.XXX.XXX.200  Mon Feb  1 21:18 - 21:22  (00:03)

4.在使用history命令前先给环境变量添加上时间戳好判断命令操作的时间

vim /etc/profile      （vim按i是编辑，  先ESC   然后:wq是保存）

在最后添加 export HISTTIMEFORMAT="%Y-%m-%d %H:%M:%S  "   如下图 

添加完成后可以 source  /etc/profile 保存执行新的环境变量  或重新ssh登录。

之后用history 查看历史操作记录会可以按照想要的时间进行筛选

[root@StrikingOptimistic-VM ~]# history |grep "2021-02-01 21:40"

  689  2021-02-01 21:40:14 history  |grep  "2021-02-01 21:26"

  690  2021-02-01 21:40:52 date

  691  2021-02-01 21:41:00 history  |grep  "2021-02-01 21:40"

参考链接

https://www.cnblogs.com/luruiyuan/p/13335860.html