linux系统
阿里云提示有美国IP登陆root,这个时间我记得没有登陆。
请问如何查询登陆时间以及登陆后这个用户都做了什么?这种情况应如何处理?
在命令行直接输入history这个命令就行,默认应该是开启的,里面记录这一段时间运行过的命令
用history命令看一下记录有没有操作过什么,然后看一下messages系统日志;如果没被清空的话
问题是,例如,我登录了,做了一些事情,肯定去清空 历史命令,和我登录期间 的一些操作日志。。。。
所以,如果人家清空干净,你很难查的。。。
至于如何处理,如果人家弄得高明,埋了东西,在你之前都没有做一些措施的时候,很难查噶。
所以,建议你迁移重要应用和数据,重置机器,更来得快捷。
整改建议:
生产环境机器都禁止root用户登录,可以有效防止很多漏洞的提权问题。
机器22端口的安全组做更细致的限制,例如,限制你公司的公网IP访问。,如果没公网IP。。。那就用 fail2ban之类的软件去做放暴力破解。
若有帮助,望采纳支持。继续加油。