如何查看服务器是否被攻击过

我用的是CentOS7.4

 

一、先从linux日志下手排查

　　1.1、linux日志默认存放位置：/var/log/

　　1.2、必看日志：/var/log/secure、/var/log/history

/var/log/lastlog     记录系统所有用户最后一次登录时间的日志
/var/log/secure     记录验证和授权方面的信息、只要登录linux都会被记录，甚至添加、修改用户都会记录

 

　　1、查看secure日志的最后15行：

 

　　2、查看有多少ip在爆破服务的root账号：哈，还真不少

grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr

 

 

　　3、查看成功登录过的ip有哪些：只有两个，两个都是我自己使用过的电脑连接的服务器，看来没有被黑进来过

grep "Accepted" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

 

　　4、查看登录成功的日期、用户名、ip：

grep "Accepted" /var/log/secure | awk '{print $1, $2, $3, $9, $11}'

 

 

　　5、查看服务器所有用户最近一次登录信息：

lastlog

 

 

 

 

 

 

二、查看服务器的cpu占用率

　　1、如果某个程序不是自己的项目程序，并且占用率超过70%,大概率是中了挖矿病毒

ps aux --sort -pcpu

 

 

　　

　　2、动态查看进程使用情况：top

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

。