Linux查找系统异常登录

最新推荐文章于 2025-05-19 15:40:09 发布

转载最新推荐文章于 2025-05-19 15:40:09 发布 · 1.3k 阅读

文章标签：

#linux

LINUX 同时被 2 个专栏收录

52 篇文章

订阅专栏

服务器

46 篇文章

订阅专栏

本文提供了多种方法来检查系统的异常登录记录，包括查看message、secure等日志文件，利用history命令，检查ftp登录记录，使用faillog、lastlog等工具，并介绍了如何查看wtmp文件。

当我们感觉系统异常或者被入侵之后，会需要查看系统异常登陆记录，以下是一些方法小结，也算是备忘。

1、查 message

 
cat /var/log/message
 
cat /var/log/message.1
 
cat /var/log/message.2
 
cat /var/log/message.3
 
cat /var/log/message.4

2、查 secure

 
cat /var/log/secure
 
cat /var/log/secure.1
 
cat /var/log/secure.2
 
cat /var/log/secure.3
 
cat /var/log/secure.4

3、查history命令历史

1 history

4、查ftp登陆记录

`1`	`检查 xferlog`

5、查faillog

查看源代码

打印帮助

`1`	`cat faillog`

6、查lastlog

我这里没有合适的样本，但能确定这个不能直接cat看，可以下载后用16进制编辑器查看。

7、查lastb

1 lastb

8、查 wtmp

`1`	`who wtmp`

当然方法不仅限于此…

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

enough_br

关注关注

0
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

【Linux】服务器恶意登录记录及解决方案

小慌慌的博客

09-05

2133

因为：自从有了一台有公网IP的Linux机器，每次登录就会有这样是信息：（大致意思：别人尝试登陆你的服务器但账户名或者密码不正确导致登陆失败。输入指令 ps -ef |grep 用户名删掉第一个进程（可能会有其他连号的进程，不需要管），然后在执行步骤5。（1）先用命令 cat /etc/passwd 查看一下所有的用户可以看到片你需要删除的用户名。（3）用命令 ps -u 用户名查看该用户的pid。如果此时还是删除不了用户，是由于还有进程没杀完，在root用户下，

linux主机ssh异地登录和暴力破解的检测

寒翼的博客

05-14

4507

保护linux系统的安全，首先考虑的就是ssh登录的安全

参与评论您还未登录，请先登录后发表或查看评论

Linux排查异常登录及异常操作

qq_34362409的博客

11-24

2694

Linux查找系统异常登录的各种方案 1、查 message cat /var/log/message cat /var/log/message.1 cat /var/log/message.2 cat /var/log/message.3 cat /var/log/message.4 2、查 secure cat /var/log/secure cat /var/log/secure.1 cat /var/log/secure.2 cat /var/log/secure.3 cat /var/log/s

linux系统错误号,Linux查找系统异常登录的点滴

weixin_28769407的博客

05-12

301

当我们感觉系统异常或者被入侵之后，会需要查看系统异常登陆记录，以下是一些方法小结，也算是备忘。1、查 message[php]cat /var/log/messagecat /var/log/message.1cat /var/log/message.2cat /var/log/message.3cat /var/log/message.4[/php]2、查 secure[php]cat /var...

linux 环境异常登录的甄别方法

MJLJY的博客

12-14

1116

linux登录记录

Linux 异常登入简易排查手法

骑著代码，看世界百态

04-08

1050

大家好，我是一个喜欢研究算法、机械学习和生物计算的小青年，我的优快云博客是：一骑代码走天涯如果您喜欢我的笔记，那么请点一下关注、点赞和收藏。如果內容有錯或者有改进的空间，也可以在评论让我知道。???? 在使用Linux 的时候，曾经试过發现登入用户中有异常的IP地址出现，因此在这儿留个简单笔记，以便日后参考。检查目前登入系统的用户信息用w指令显示目前登入系统的用户信息用netstat -ap | grep ssh指令找出特定程式所使用的连接埠，可以查看登入/尝试ssh进来的IP地址。检查

Linux操作系统中断与异常实验

04-01

Linux 操作系统中断与异常实验在 Linux 操作系统中，中断和异常是两个基本概念。中断是指 CPU 在执行指令时，遇到某些特殊情况，需要暂停当前指令的执行，转而执行另外的指令。例如，在 Linux 中，当硬件设备需要 ...

在Linux中，如何查看和审计系统日志文件以检测异常活动？

努力变的更强

12-10

1954

在Linux环境中，查看和审计系统日志文件以便检测异常活动通常涉及一系列步骤和工具。

精选资源

Linux操作系统加固Linux操作系统加固Linux操作系统加固Linux操作系统加固Linux操作系统加固Linux操作系统

03-14

根据给定的信息，本文将详细解释Linux操作系统的加固方法，主要涵盖账号与口令管理、服务安全、文件系统以及日志管理四大方面。 ### 一、账号和口令 #### 1.1 禁用或删除无用账号为了减少系统中的无用账号，降低...

Linux 系统异常触发后自动重启配置指南

qq_35223473的博客

05-19

1483

适用于内核崩溃（Kernel Panic）、硬件驱动故障等场景，通过 SysRq 和 Watchdog 实现快速恢复。通过上述配置，可覆盖内核崩溃、服务异常、网络中断等多种场景下的自动重启需求，平衡系统稳定性与恢复效率。适用于用户态服务崩溃、进程挂起等场景。适用于网络链路中断导致服务不可用。）后自动重启，便于后续调试。用于生成崩溃转储文件（

精选资源

修复Linux异常自动重启问题

01-20

这几天训网络最困扰我的问题就是服务器总是莫名其妙自动重启，一旦重启，训练的各种网络就都中断了，之后又得一个一个断点续训练，很费劲两天之内重启了3次之后我...类似这样的错误，看样子是sda1磁盘文件系统的问题

linux异常登录分析案例

完颜振江

02-15

777

Linux 异常登录分析是指检测和分析系统上的非正常登录行为，以识别可能的安全威胁或风险。这通常涉及监视登录日志（如）并分析其中的登录活动。

linux命令符awk查看异常账号,linux命令：awk文本处理命令

weixin_31155097的博客

04-29

499

awk命令简介：awk是一个强大的文本分析工具,通常，awk是以文件的每一行,为处理单位的。awk每接收文件的一行，然后执行相应的命令，来处理文本。1．命令格式：awk 'pattern {action}' {filenames}其中 pattern 表示 AWK 在数据中查找的内容，而 action 是在找到匹配内容时所执行的一系列命令。花括号({})不需要在程序中始终出现，但它们用于根据特定的...

linux命令：用于显示失败的登录尝试记录的命令lastb详解

weixin_70208651的博客

03-28

1155

lastb 是 Linux 系统中的一个命令，用于显示失败的登录尝试记录。这些记录通常存储在 /var/log/btmp 文件中。通过 lastb 命令，系统管理员可以查看哪些用户尝试登录系统但未能成功，从而帮助识别潜在的安全威胁或问题。它会显示尝试登录的用户名、登录来源（如 IP 地址或主机名）、登录时间以及失败的原因（例如密码错误）。可以分为如下几种功能：1、安全审计：追踪恶意登录尝试，识别潜在攻击。 2、入侵检测：分析异常登录模式（如高频失败尝试）。3、合规性管理：满足安全标准对日志记录的要求。

linux命令符awk查看异常账号,Linux 日志查看 | awk 命令（实例）

weixin_34847198的博客

04-29

316

基本用法log.txt 文本内容以下：web2 this is a test3 Are you like awkThis's a test10 There are orange,apple,mongo用法一：awk '{[pattern] action}' {filenames}shell# 每行按空格或TAB分割，输出文本中的一、4项[root@peipei3514 usr]# awk '{pr...

linux查看服务器登录成功和登录失败的命令

weixin_46627652的博客

03-14

1518

【代码】linux查看服务器登录成功和登录失败的命令。

检查linux系统可疑用户

beck_li的博客

08-22

1016

1、查看是否有异常的系统用户 2、查看是否产生了UID和GID为0的新用户 3、查看passwd的修改时间 4、查看是否存在特权用户 5、查看是否存在空口令帐户 6、查看ssh授权用户 7、查看可以远程登录的帐号信息

排查linux系统是否被入侵

eagle89的专栏

04-12

1615

排查linux系统是否被入侵

Linux 服务器被入侵后，如何通过登录日志排查入侵源？【实战指南】

2503_91655817的博客

04-14

1845

当发现服务器被入侵，第一步不是重装系统，而是排查入侵路径和清除隐患。通过lastlastbgrepw等常用命令，我们可以快速定位登录来源，分析入侵行为。当然，如果系统已被完全控制，建议直接备份数据后重装系统，并使用如雪花云这类稳定服务器平台重新部署，同时强化如下措施：禁止 root 远程登录使用非默认 SSH 端口启用 fail2ban、防火墙策略使用密钥登录替代密码登录定期审计登录日志和账户活动。

查看linux系统下进程异常的日志