前言¶
在 Ubuntu 系统中,你可以通过以下几种方式查看是否存在恶意登录情况,主要通过检查系统日志和相关记录文件:
- 查看登录历史记录
# 查看所有用户的登录历史
last
# 查看失败的登录尝试
lastb
# 查看更详细的登录信息,包括IP地址
last -i
- 检查系统日志文件
# 查看auth.log,记录了认证相关的事件
sudo grep "Failed password" /var/log/auth.log
sudo grep "Accepted password" /var/log/auth.log
# 对于较新的Ubuntu版本,可能需要使用journalctl
sudo journalctl -u ssh -g "Failed password"
sudo journalctl -u ssh -g "Accepted password"
- 查看最近登录的用户
# 显示当前登录的用户
who
# 显示用户的登录历史
w
# 显示最后登录的用户
lastlog
- 检查 SSH 登录记录
# 查看SSH服务的登录记录
sudo grep sshd /var/log/auth.log | grep -i "session opened for user"
sudo grep sshd /var/log/auth.log | grep -i "authentication failure"
如果发现可疑的登录记录(如陌生的 IP 地址、多次失败的登录尝试等),建议立即采取安全措施,如修改密码、限制 SSH 访问、启用防火墙规则等。