今天在freebuf上看到一篇文章 安全运维之如何找到隐匿于last和w命令中的ssh登录痕迹 ,觉得有用,就自己重做了一遍,加深记忆。
环境
centos7+mac os
正常登陆ssh查看w和last
# w
# last
使用小技巧登陆ssh
# ssh -lroot 192.168.30.164 /usr/bin/bash
再次查看w和last
只有一开始正常登陆时的记录:
排查的时候找到隐藏的ssh登陆痕迹
方法一:
# lsof -i:22 | grep EST
方法二:
# ps -ef | grep ssh
方法三:
# cat secure | grep "Accept"
