大家好我是陈师傅（假装很熟），今天咱们来聊聊这个让程序员又爱又恨的"破案神器"——服务器登录日志。（推眼镜）

前两天隔壁工位小王突然哀嚎："我服务器被人当公共厕所了！"凑近一看才发现有不明IP在凌晨三点用root账号反复横跳。这让我想起去年某电商平台被薅羊毛的经典案例——黑客就是通过分析登录日志的时间规律找到安防空窗期。（突然正经）

---

一、你以为的监控录像 vs 真正的福尔摩斯剧本

很多人觉得登录日志就像超市门口的监控摄像头（确实有点像），但它的信息量可比监控丰富多了：

1. SSH行为全记录：/var/log/secure里记着每个来访者的"身份证"（源IP）、"拜访时间"和"敲门方式"（密钥/密码）

2. 系统级签到簿：lastb命令能列出所有失败的登陆尝试

3. 高危行为标记：像这样一行`sshd[1234]: Failed password for root from 192.168.1.666 port 6666 ssh2`就是在疯狂暗示："注意！有人在试你家保险箱密码！"

举个真实案例：某金融公司发现每天上午10点总有来自巴西的IP成功登陆。查到最后发现是清洁阿姨用机房电脑看世界杯时触发了自动备份脚本...（咖啡杯打翻）

二、5个必看的"案发现场"

根据OWASP统计（敲黑板），80%的攻击都是从登陆口突破的：

1. 午夜凶铃型

`May 15 03:14:15 server sshd[2233]: Accepted publickey for root from 192.168.0.666 port 6666`

凌晨三点用密钥登陆root？要么是加班到秃头的程序员（致敬），要么是...

2. 反复横跳型

连续出现20条`Failed password for admin`之后突然成功一条

建议立即查看/etc/passwd文件——你的admin账号可能已经变成肉鸡了

3. 地理穿越剧

上午在北京登陆的管理员账号下午突然出现在乌克兰

除非你们公司买了马斯克的星链套餐（狗头）

4. 协议异常型

`sshd[3344]: Received disconnect from 11.22.33.44 port 55:11: Bye Bye [preauth]`

这种没完成认证就断开的情况很可能是端口扫描

5. 神秘消失型

`/var/log/secure`突然出现时间断层

黑客常用的手法就是删日志掩耳盗铃——这时候该祭出logrotate轮转配置了

三、老司机必备的三件套

工欲善其事必先利其器：（挽袖子）

1. ELK全家桶：把海量日志变成可视化图表

- ElasticSearch负责存储

- Logstash做数据管道

- Kibana展示热力图（看攻击源分布超直观）

2. Fail2ban自动防御：

配置规则如`maxretry=3 bantime=3600`后会自动封禁暴力破解IP

3. 自制脚本示例：

```bash

统计可疑IP

cat /var/log/secure | grep "Failed password" | awk '{print $11}' | sort | uniq -c | sort -nr

查找非工作时间登陆

awk '/Accepted/{print $1,$2,$3,$9,$11}' /var/log/secure | grep -v '09:00\|10:00'

```

四、血泪教训合集

1）某游戏公司曾因忽略`pam_tally2.so`认证模块配置导致被撞库

2）某电商把Jenkins面板暴露公网却未开双因素认证——结果被当成免费矿机用了半个月

3）最惨的是某站长把MySQL端口当SSH用...第二天就收到云服务商的欠费通知（别问怎么知道的）

五、新手指南：三要三不要

✅要定期检查lastlog命令输出

✅要用jump server做跳板机集中管理

✅要给每个运维配独立账号

❌别在公网开放22端口（改个高位端口能防90%脚本小子）

❌别让root直接远程登陆（建议sudo提权）

❌别相信任何说"I'm from IT department"的陌生登陆请求

结尾彩蛋：曾经有个黑客在入侵后留下`echo "菜鸡系统已打卡" >> /var/log/messages`...所以说啊同志们，（敲黑板）看日志不仅要看异常记录还要看有没有奇怪彩蛋啊！（摔保温杯）

TAG:服务器登录日志,服务器登陆日志,服务器的日志,服务器登录日志日志叫什么字符串