Linux可疑日志分析整理

Hello,大家好，我是Lionel，距离2018还不到10天了，回忆起2017公司的大事件深有感慨。年底了，小偷也要挣钱回家过年了。网络中黑客也在蠢蠢欲动，为了防止公司的服务器被入侵，我还是一个一个上去看看有没有可疑的问题吧。让同事踏踏实实的过个好年。

分几个思路来查服务器是否有被入侵的嫌疑。

1.查看系统用户

2.查看用户登录时间和IP

3.查询使用过的命令

4.分析登录IP

5.分析命令中是否有敏感命令

OK，我们现在开始。

1.首先查看系统中的用户

cat /etc/passwd | grep /bin/bash

这个命令运行出来，一般都是root用户，你要是有别的用户，除了你自己加的，别的就有些可疑了，虽然没有最高权限，但是也要看看是什么问题。

2.登录用户和登录时候用的IP

一般这个日志有很多行，要一行一行的看，所以我选择导出这个log文件。

who /var/log/wtmp > /root/name.txt

导出wtmp文件到root目录下的name.txr文件。

这个目的只是方便看。

嗯，数据量有点大，我们有几百个CDN节点，看吧。累死我了。

3.查询历史命令

这个很简单

history

除非黑客把你历史命令删了。

4.分析登录IP

这个在上面打码的，就是登录的IP。在ipip.net或ip138.com查查是不是自己用的IP，或者记得登录IP的一对就知道了。数据量有点大，累死我了。

5.分析历史命令

看看是不是自己或者同事输入过的命令，如果有可疑下载文件那就要小心了。

这个就是基本查询的方式，如果黑客把这些清除了，还是很难查的。历史命令被清了肯定是可疑机器。

好了，我继续忙了，这个就是基本查询Linux是否被入侵的方法。