前言¶
在 Ubuntu 系統中,你可以通過以下幾種方式查看是否存在惡意登錄情況,主要通過檢查系統日誌和相關記錄文件:
- 查看登錄歷史記錄
# 查看所有用戶的登錄歷史
last
# 查看失敗的登錄嘗試
lastb
# 查看更詳細的登錄信息,包括IP地址
last -i
- 檢查系統日誌文件
# 查看auth.log,記錄了認證相關的事件
sudo grep "Failed password" /var/log/auth.log
sudo grep "Accepted password" /var/log/auth.log
# 對於較新的Ubuntu版本,可能需要使用journalctl
sudo journalctl -u ssh -g "Failed password"
sudo journalctl -u ssh -g "Accepted password"
- 查看最近登錄的用戶
# 顯示當前登錄的用戶
who
# 顯示用戶的登錄歷史
w
# 顯示最後登錄的用戶
lastlog
- 檢查 SSH 登錄記錄
# 查看SSH服務的登錄記錄
sudo grep sshd /var/log/auth.log | grep -i "session opened for user"
sudo grep sshd /var/log/auth.log | grep -i "authentication failure"
如果發現可疑的登錄記錄(如陌生的 IP 地址、多次失敗的登錄嘗試等),建議立即採取安全措施,如修改密碼、限制 SSH 訪問、啓用防火牆規則等。