CentOS通过日志反查入侵

1、查看日志文件 

 Linux查看/var/log/wtmp文件查看可疑IP登陆

 last -f /var/log/wtmp

[email protected]:[/root]last -f /var/log/wtmp 
root     pts/1        192.168.1.24     Fri Sep 11 16:28   still logged in      
root     pts/2        192.168.1.24     Fri Sep 11 16:23 - 16:28  (00:05)    
root     pts/1        192.168.1.24     Fri Sep 11 16:19 - 16:24  (00:05)     
root     pts/0        :0.0             Wed Apr  1 09:11   still logged in   
root     tty1         :0               Wed Apr  1 09:11   still logged in   
reboot   system boot  2.6.32-504.el6.x Wed Apr  1 09:09 - 16:32 (163+07:22) 
root     pts/0        :0.0             Tue Mar 31 20:29 - down   (12:39)    
root     tty1         :0               Tue Mar 31 20:29 - down   (12:39)

   该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件。因此随着系统正常运行时间的增加，该文件的大小也会越来越大，

增加的速度取决于系统用户登录的次数。该日志文件可以用来查看用户的登录记录，

last命令就通过访问这个文件获得这些信息，并以反序从后向前显示用户的登录记录，last也能根据用户、终端tty或时间显示相应的记录。

2、查看/var/log/secure文件寻找可疑IP登陆次数；

[email protected]:[/root]cat /var/log/secure
Sep  6 22:22:38 centos6 sshd[2502]: pam_unix(sshd:session): session closed for user root
Sep  6 22:22:39 centos6 sshd[2443]: pam_unix(sshd:session): session closed for user root
Sep  6 23:08:31 centos6 sshd[11623]: Accepted password for root from 192.168.1.24 port 60533 ssh2
Sep  6 23:08:32 centos6 sshd[11623]: pam_unix(sshd:session): session opened for user root by (uid=0)
Sep  7 04:55:34 centos6 groupadd[12536]: group added to /etc/group: name=cgred, GID=493

3、脚本生产所有登录用户的操作历史

  linux系统的环境下，不管是root用户还是其它的用户只有登陆系统后用进入操作我们都可以通过命令history来查看历史记录，可是假如一台服务器多人登陆，一天因为某人误操作了删除了重要的数据。这时候通过查看历史记录（命令：history）是没有什么意义了（因为history只针对登录用户下执行有效，即使root用户也无法得到其它用户histotry历史）。那有没有什么办法实现通过记录登陆后的IP地址和某用户名所操作的历史记录呢？答案：有的。

通过在/etc/profile里面加入以下代码就可以实现：

PS1="`whoami`@`hostname`:"'[$PWD]'
history
USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]
then
USER_IP=`hostname`
fi
if [ ! -d /tmp/dbasky ]
then
mkdir /tmp/dbasky
chmod 777 /tmp/dbasky
fi
if [ ! -d /tmp/dbasky/${LOGNAME} ]
then
mkdir /tmp/dbasky/${LOGNAME}
chmod 300 /tmp/dbasky/${LOGNAME}
fi
export HISTSIZE=4096
DT=`date "+%Y-%m-%d_%H:%M:%S"`
export HISTFILE="/tmp/dbasky/${LOGNAME}/${USER_IP} dbasky.$DT"
chmod 600 /tmp/dbasky/${LOGNAME}/*dbasky* 2>/dev/null

source /etc/profile 使脚本生效；

退出用户，重新登录

上面脚本在系统的/tmp新建个dbasky目录，记录所有登陆过系统的用户和IP地址（文件名），每当用户登录/退出会创建相应的文件，该文件保存这段用户登录时期内操作历史，可以用这个方法来监测系统的安全性。

[email protected]:[/tmp/dbasky/root]ll
total 24
-rw-------. 1 root root  40 Sep 11 16:17 192.168.1.24 dbasky.2015-09-11_16:17:09
-rw-------. 1 root root 120 Sep 11 16:19 192.168.1.24 dbasky.2015-09-11_16:17:17
-rw-------. 1 root root 190 Sep 11 16:24 192.168.1.24 dbasky.2015-09-11_16:21:21
-rw-------. 1 root root 143 Sep 11 16:28 192.168.1.24 dbasky.2015-09-11_16:23:08