请教, last 只能看到最近几次登录信息,是否有安全风险?

2019-12-07 03:48:55 +08:00
 wxppkm

我的一台服务器运行了一个月,last 得到的登录记录只有最近几天的,是否有安全风险呢?

history 看历史命令似乎一切正常。

多谢!

4210 次点击
所在节点    Linux
8 条回复
KentY
2019-12-07 08:14:36 +08:00
你指的风险是什么?
有人登录你的服务器然后你不知道? 还是什么
KentY
2019-12-07 08:17:05 +08:00
另外你看看 last 的 man page 我记得很多选项可以看从某一时间以来的记录. since 还是什么的
KandeShih
2019-12-07 08:25:51 +08:00
last -a
scriptB0y
2019-12-07 11:39:04 +08:00
last 其实读的是 /tmp/wtmp 文件,你也可以用 utmpdump 去看

$ utmpdump /var/log/wtmp

要是这个文件没有保存全的话,看下有没有 logrotate 之类的配置把这个文件截断了
wxppkm
2019-12-07 14:10:01 +08:00
@KentY 是的,我是外行,网上看到说有可能别人登录之后删除登录日志,于是 last 看了一下,有几台服务器还真没有几条记录(远少于我实际登录的次数),只有最近几次的。担心别人登录了而我不知道。不过 history 看命令没有异常,从最初到现在的都在。
@KandeShih
@KentY last 各种尝试之后 只有最近几天的记录……

@scriptB0y utmpdump 也没有更多结果, 查了 logrotate,里面没有设置 wtmp

多谢!
gowa
2019-12-07 14:24:18 +08:00
日志被清了。你被挂马了
evilhero
2019-12-07 23:05:41 +08:00
理论上取得权限后任何日志都能被清除的
wxppkm
2019-12-08 17:17:45 +08:00
多谢!好奇怪。同时有多台服务器有次现象,似乎是我在服务器商家的账号被入侵了?于是开启了两步认证。还得把所有的服务器都重装……

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/626702

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX