有一个朋友的服务器发现有入侵的痕迹后来处理解决但是由于对方把日志都清理了无疑给排查工作增加了许多难度.刚好手里有些资料我就整理整理贴出来分享一下.其实日志的作用是非常大的.学会使用通过日志来排查解决我们工作中遇到的一些问题是很有必要的. 大纲 Linux日志系统简介 Linux日志分析 Linux日志入侵发现 实例分析 Linux日志系统简介 日志的主要用途是系统审计.监测追踪和分析统计. 为了保证 Linux 系统正常运行.准确解决遇到的各种各样的系统问题认真地读取日志文件是管理员的一项非常重…

1.查看日志文件 Linux查看/var/log/wtmp文件查看可疑IP登陆 last -f /var/log/wtmp  该日志文件永久记录每个用户登录.注销及系统的启动.停机的事件.因此随着系统正常运行时间的增加,该文件的大小也会越来越大, 增加的速度取决于系统用户登录的次数.该日志文件可以用来查看用户的登录记录, last命令就通过访问这个文件获得这些信息,并以反序从后向前显示用户的登录记录,last也能根据用户.终端tty或时间显示相应的记录. 查看/var/log/secure文件寻…

使用 last -f /var/log/wtmp 来查看可疑ip登录 查看/var/log/secure保存的系统信息 来确定可以ip登录…

平时时常遇到端口占用的情况,又不知道端口是哪个服务启的. 本文以80端口为例. [root@localhost jenkins]# netstat -tunlp | grep 80 tcp6 0 0 :::8089 :::* LISTEN 17195/docker-proxy tcp6 0 0 :::8001 :::* LISTEN 22015/docker-proxy tcp6 0 0 127.0.0.1:8005 :::* LISTEN 11823/java tcp6 0 0 :::8009…

linux ssh使用深度解析(key登录详解) SSH全称Secure SHell,顾名思义就是非常安全的shell的意思,SSH协议是IETF(Internet Engineering Task Force)的Network Working Group所制定的一种协议.SSH的主要目的是用来取代传统的telnet和R系列命令(rlogin,rsh,rexec等)远程登陆和远程执行命令的工具,实现对远程登陆和远程执行命令加密.防止由于网络监听而出现的密码泄漏,对系统构成威胁. ssh协议目前有…

linux log日志解析   其实,可以说成是监控系统的记录,系统一举一动基本会记录下来.这样由于信息非常全面很重要,通常只有 root 可以进行视察!通过登录文件(日志文件)可以根据屏幕上面的错误讯息与再配合登录文件的错误信息,几乎就可以解决大部分的 Linux 问题! 所以日志文件异常重要,作为一个合格的linux 系统工程师,日志文件是必要熟练掌握的部分.   常见的几个登录文件有: /var/log/secure:记录登入系统存取数据的文件,例如 pop3, ssh, telnet,…

Entity Framework DBContext 增删改查深度解析 有一段时间没有更新博客了,赶上今天外面下雨,而且没人约球,打算把最近对Entity Framework DBContext使用的心得梳理一下,早些时候在网上简单查过,对于最新版本的EF并没有类似的知识梳理类文章,希望对大家有所帮助. 1. 不要Code first, 也不要DB first 我为什么讨厌Code first和DB first呢?首先Code first是先写代码,数据库完全由代码生成,开发阶段尚可,一旦到了产…

add by zhj: 如果想用reverse(namespace1:namespace2:...:namespaceN:name)反查url(注意:用reverse('polls:index')方法和{% url 'polls:index' %}获取到的是url中的path部分,要自己加上domain才是完整的url),那要做下面两点. 1. 该url路径上用到的所有url()方法中必须加name参数,如果url()方法中有include(),那不用加name参数. name相当于文件,同一目…

索引表格 命令 功能简述 目录与文件基本操作 pwd 显示当前目录 ls 列出目录和文件名称 cp 复制文件或目录 mv 移动或更名现有的文件或目录 rm 删除文件或目录 mkdir 新建目录 rmdir 删除空目录 file 显示文件类型 stat 显示文件或文件系统的详细信息 du 显示文件或目录大小 touch 更改文件或目录的时间标记 ln 建立链接文件 查找文件或目录 which 在$PATH设定的目录范围查找指定文件 whereis 查找文件(只用于查找:二进制文件.源代码文件.ma…

Linux检查服务器是否被入侵 检查root用户是否被纂改 awk -F: '$3==0{print $1}' /etc/passwd awk -F: '$3==0 {print}' /etc/passwd 查看空口令 awk -F: 'length(2)==0 {print}' /etc/shadow 查询可以远程登录的帐号,即:/bin/shell awk '/\$1|\$6/{print $1}' /etc/shadow 检查sudo权限 more /etc/sudoers | grep…