检查并锁定可疑登陆用户

在发现服务器遭受攻击时,首先要切断网络连接,但是在有些情况下,比如无法马上切断网络连接时,就必须登录系统查看是否有可疑用户,如果有可疑用户登陆了系统,就必须马上将这个用户锁定,然后中断此用户的连接。

1、root登陆,w命令列出所有登陆到系统的用户,这里假设可疑用户为zlfzy

[root@test ~]# w
 14:28:11 up 115 days,  2:50,  2 users,  load average: 0.06, 0.11, 0.11
USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
root     pts/1    59.42.26.119     13:45    3.00s  0.10s  0.10s -bash
zlfzy    pts/3    59.42.26.119     14:27    1:06   0.01s  0.01s -bash

2、passwd -l zlfzy (锁定用户)

[root@test ~]# passwd -l zlfzy
Locking password for user zlfzy.
passwd: Success

3、ps -ef | grep @pts/3 (拿到它的pid)

[root@test ~]# ps -ef|grep @pts/3
zlfzy    10255 10250  0 14:27 ?        00:00:00 sshd: zlfzy@pts/3
root     10739 12736  0 14:28 pts/1    00:00:00 grep --color=auto @pts/3

4、kill掉用户

[root@test ~]# kill -9 10255

这样,该用户就被强制断开,并且不能再连接到系统,如果想解锁该用户,可以passwd -u zlfzy

5、last命令看用户登陆事件

6、查看系统日志/var/log/messages,/var/log/secure,这两个日志文件可以记录软件运行状态以及远程用户的登陆状态。还可以查看每个用户目录下的.bash_history文件,特别是/root目录下的.bash_history文件,这个文件中记录着用户执行的所有历史命令

添加新评论