VPS登录时间追踪_运维新手指南_命令大全,VPS登录时间监控,运维新手必看命令大全
买完VPS第一件事该干啥?查登录记录啊!
"这玩意儿买来咋知道有没有人偷偷登录?"——刚租了VPS的小白盯着黑乎乎的终端直发懵。登录时间就是服务器的"健康体检表",不仅能防黑客,还能揪出哪个程序半夜偷跑流量。去年某电商平台没查登录记录,结果被挖矿程序潜伏三个月,电费多烧了2万块。
基础命令三件套:30秒看清谁在线
▍who命令:小学生都会的入门技
在终端里敲这行:
bash复制who
立马蹦出三列关键信息:
复制登录账号 | 登录终端 | 登录时间admin pts/0 Jun10 09:30
适用场景:快速确认当前有没有异常用户蹭网
▍w命令:进阶版"监视器"
比who更狠的是它能显示用户在干啥:
复制USER TTY 负载率 正在运行的命令root pts/0 0.05 vim nginx.conf
亮点功能:
- 负载率>1.0说明服务器快累瘫了
- 运行命令暴露可疑操作(比如半夜跑压缩程序)
▍users命令:极简主义最爱
直接列出登录账号:
复制root admin admin
看到重复账号?八成是有人多设备登录
历史记录追踪:挖出三个月前的"小偷"
▶ last命令:时光机级回溯
bash复制last -i -a
输出结果暗藏玄机:
复制root pts/0 110.20.xx.xx Tue Jun10 09:30admin ssh [183.12.xx.xx] Mon Jun9 22:15
重点看三处:
- IP地址:非常用地区立即拉黑
- 登录时间:凌晨的非运维操作必有问题
- 持续时长:2小时以上的ssh连接可能被劫持
▶ lastlog命令:查休眠账户
显示所有账号最后登录时间:
复制用户名 端口 最新登录时间testuser 从未登录backup pts/1 2025-05-01 08:00
安全警示:超过半年未登录的账号建议冻结
系统日志深挖:服务器界的"监控录像"
▍Linux系统藏宝地
| 日志路径 | 记录内容 | 适用系统 |
|---|---|---|
| /var/log/auth.log | ssh登录/认证记录 | Debian/Ubuntu |
| /var/log/secure | 用户切换/sudo操作 | CentOS/RHEL |
用grep精准抓取:
bash复制grep "Accepted" /var/log/auth.log # 查成功登录 grep "Failed" /var/log/auth.log # 查暴力破解
▍Windows系统操作指南
- 事件查看器 → Windows日志 → 安全日志
- 筛选事件ID:
- 4624:成功登录
- 4625:失败尝试
- 看关键字段:
- 登录账号@计算机名
- 源网络地址
三大翻车现场与救命方案
▍场景1:日志里惊现陌生IP
应急三步走:
lastb查失败记录 → 确认攻击来源iptables -A INPUT -s 1.2.3.4 -j DROP立即封IP- 检查
/etc/passwd有无新增账号
▍场景2:自己账号被踢下线
必做操作:
bash复制ps aux | grep sshd # 查异常进程 lsof -i:22 # 查22端口连接
▍场景3:日志文件离奇消失
黑客惯用手法:
复制rm -rf /var/log/* # 清空日志掩盖行踪
补救措施:
- 立即用
df -h查磁盘占用 - 安装auditd审计工具监控文件变动
高手私房设置:让日志自己说话
▶ 实时报警脚本
bash复制#!/bin/bash tail -f /var/log/auth.log | grep --line-buffered "Accepted" | while read linedoecho "$line" | mail -s "VPS登录告警" admin@xxx.comdone
▶ 日志自动分析工具
图片代码生成失败,换个方式问问吧graph TBA[原始日志] --> B[Logwatch工具]B --> C{每日摘要}C --> D[登录次数统计]C --> E[异常IP列表]C --> F[高危操作预警][11](@ref)
运维十年老鸟的忠告:
见过太多人栽在登录监控上——
- 某游戏公司忽略凌晨登录记录→玩家数据库被拖库
- 个人站长没封暴力破解IP→网站被植入 *** 广告
最稳的方案是"三层监控":
1️⃣ 基础命令每日手动查(30秒)
2️⃣ 配置日志自动周报(省时省力)
3️⃣ 敏感操作触发实时告警(防患未然)记住:黑客的第一特征就是异常登录时间,稳准狠揪出它,你的服务器就安全了八成!
(Linux系统日志分析脚本详见《服务器安全运维实战手册01)》第7章)