linux 知道IP如何判断系统是否被异常改动

该篇用于简单的业务内容回溯,用于排查错误和检测是否被入侵,大神请勿喷= 。=!

系统环境  Centos7

主要用到的命令:

iftop(流量查看工具,可以用你自己习惯的) 

last(用户登录列表) 

who(目前登录的用户) 

grep(配合管道" | "用于查找文件里符合条件的字符串)

history(查看历史命令1000条,注意内容是被保存在内存中的重启过服务器后会删除历史记录的)


1.首先直观的查看IP流量我这里用了iftop工具,也可以用自己熟悉的工具

yum install iftop -y

直接 iftop

[root@StrikingOptimistic-VM ~]# iftop

2.打个比方想查看目前谁在登录服务器

[root@StrikingOptimistic-VM ~]# who

root    pts/0        2021-02-01 21:26 (124.XXX.XXX.200)

root    pts/1        2021-02-01 21:26 (124.XXX.XXX.200)


3.查看某个登录服务器的用户信息

[root@StrikingOptimistic-VM ~]# last |gerp  124.XXX.XXX.200

root    pts/1        124.XXX.XXX.200  Mon Feb  1 21:26  still logged in 

root    pts/0        124.XXX.XXX.200  Mon Feb  1 21:26  still logged in 

root    pts/1        124.XXX.XXX.200  Mon Feb  1 21:18 - 21:22  (00:03)


4.在使用history命令前先给环境变量添加上时间戳好判断命令操作的时间

vim /etc/profile      (vim按i是编辑,  先ESC   然后:wq是保存)

在最后添加 export HISTTIMEFORMAT="%Y-%m-%d %H:%M:%S  "   如下图 

添加完成后可以 source  /etc/profile 保存执行新的环境变量  或重新ssh登录。

之后用history 查看历史操作记录会可以按照想要的时间进行筛选

[root@StrikingOptimistic-VM ~]# history |grep "2021-02-01 21:40"

  689  2021-02-01 21:40:14 history  |grep  "2021-02-01 21:26"

  690  2021-02-01 21:40:52 date

  691  2021-02-01 21:41:00 history  |grep  "2021-02-01 21:40"


参考链接

https://www.cnblogs.com/luruiyuan/p/13335860.html

你可能感兴趣的:(linux 知道IP如何判断系统是否被异常改动)