如何查看服务器是否被攻击过

如何查看服务器是否被攻击过

1、查看有多少ip在爆破服务的root账号：

grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr

2、查看成功登录过的ip有哪些：

grep "Accepted" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
 
3、查看登录成功的日期、用户名、ip：

grep "Accepted" /var/log/secure | awk '{print $1, $2, $3, $9, $11}'
 
4、查看服务器所有用户最近一次登录信息：

lastlog

一、先从linux日志下手排查

1.1、linux日志默认存放位置：/var/log/

1.2、必看日志：/var/log/secure、/var/log/history

/var/log/lastlog     记录系统所有用户最后一次登录时间的日志
/var/log/secure     记录验证和授权方面的信息、只要登录linux都会被记录，甚至添加、修改用户都会记录

1、查看secure日志的最后15行：

tailf -15 /var/log/secure

2、查看有多少ip在爆破服务的root账号：哈，还真不少

grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr

3、查看成功登录过的ip有哪些：

只有两个，两个都是我自己使用过的电脑连接的服务器，看来没有被黑进来过

grep "Accepted" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

4、查看登录成功的日期、用户名、ip：

grep "Accepted" /var/log/secure | awk '{print $1, $2, $3, $9, $11}'

5、查看服务器所有用户最近一次登录信息：

lastlog

欢迎来撩 ： 汇总all