CentOS系统通过日志反查是否被入侵

最近有个朋友的服务器发现有入侵的痕迹后来处理解决但是由于对方把日志都清理了无疑给排查工作增加了许多难度。其实日志的作用是非常大的。学会使用通过日志来排查解决我们工作中遇到的一些问题是很有必要的。下面就一一道来。 在IT系统管理中，日志文件是排查问题和检测潜在入侵的重要工具。本文将详细介绍如何在CentOS系统中通过日志文件反查是否被入侵，以及如何通过脚本来记录所有登录用户的操作历史。 我们要关注的主要日志文件是 `/var/log/wtmp` 和 `/var/log/secure`。`/var/log/wtmp` 文件记录了所有用户的登录、注销以及系统的启动和停机事件。`last -f /var/log/wtmp` 命令可以帮助我们查看这些记录，以反向顺序显示最近的登录活动。而 `/var/log/secure` 文件则存储了与认证相关的事件，包括SSH登录尝试，这对于识别可疑IP的频繁登录尝试非常有用。 当面临可能的入侵时，除了检查上述日志文件外，还可以分析其他相关日志，如 `/var/log/auth.log` 或 `/var/log/messages`，它们可能包含更多有关安全事件的信息。 为了更有效地监控系统安全，我们可以编写一个脚本，将用户的操作历史记录到特定的文件中。在 `/etc/profile` 文件中添加如下代码： ```bash PS1="`whoami`@`hostname`:"'[$PWD]' USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'` if [ "$USER_IP" = "" ]; then USER_IP=`hostname` fi if [ ! -d /tmp/dbasky ]; then mkdir /tmp/dbasky chmod 777 /tmp/dbasky fi if [ ! -d /tmp/dbasky/${LOGNAME} ]; then mkdir /tmp/dbasky/${LOGNAME} chmod 300 /tmp/dbasky/${LOGNAME} fi export HISTSIZE=4096 DT=`date "+%Y-%m-%d_%H:%M:%S"` export HISTFILE="/tmp/dbasky/${LOGNAME}/${USER_IP} dbasky.$DT" chmod 600 /tmp/dbasky/${LOGNAME}/*dbasky* 2>/dev/null source /etc/profile ``` 这个脚本会在 `/tmp/dbasky` 目录下为每个登录用户和IP创建单独的文件，保存他们登录期间的操作历史。这种方法有助于追踪到具体用户的操作，尤其是在多人共享服务器的情况下，对于发现异常行为或误操作非常有用。 总结来说，保持日志的完整性和定期分析是维护服务器安全的关键步骤。通过检查 `/var/log/wtmp` 和 `/var/log/secure`，结合自定义脚本来记录用户操作历史，可以有效地监控潜在的入侵行为。同时，了解和熟悉其他系统日志文件也很重要，因为攻击者可能会通过多种途径尝试侵入系统。时刻保持警惕，定期审计和更新安全策略，将有助于提前预防和及时应对安全威胁。如果你在实践中遇到任何问题，可以通过留言等方式与其他专业人士交流，共同提升系统的安全性。