（：用生活化场景切入）

“你的VPS半夜偷偷跑流量，CPU飙到99%？像极了半夜偷吃冰箱零食的室友——但问题是你根本不知道是谁干的！” 作为一枚常年和服务器斗智斗勇的博主，今天就用「侦探游戏」的方式，教你用3种专业工具+1个骚操作，把VPS上的“不速之客”全揪出来！（顺便附赠防范秘籍，看完直接让黑客哭晕在厕所~）

第一招：翻“监控录像”——last命令

（比喻解释）

想象你的VPS有个全天候保安亭，每个进出的人都要登记身份证（IP地址）和打卡时间。而`last`命令就是这个保安的登记本，输入命令就能看到最近所有登录记录：

```bash

last -i

显示IP版完整记录

```

（专业举例）

- 可疑线索1：突然出现陌生IP（比如来自乌克兰的凌晨3点登录）。

- 可疑线索2：同一个用户多次失败登录（黑客在暴力破解密码！）。

- 彩蛋技巧：`lastb`命令专门看失败登录，比狗仔队还敬业。

第二招：查“行车记录仪”——auth.log/secure日志

（搞笑类比）

如果说`last`是保安的笔记本，那`/var/log/auth.log`（Ubuntu）或`/var/log/secure`（CentOS）就是高清行车记录仪！连黑客敲错密码时骂了句什么都能看到（误）：

sudo tail -f /var/log/auth.log

实时监控登录动态

（专业分析案例）

假设你看到这样的记录：

```

May 20 04:15:01 vps sshd[1234]: Failed password for root from 666.666.666.666 port 66666

翻译成人话：“有个憨憨用root账号+弱密码疯狂试探，IP地址嚣张到像在嘲讽你。”

第三招：上“人脸识别”——who/w命令

（场景化描述）

当你怀疑有人正在服务器上“偷家”，直接输入：

w

看当前在线用户+他们在干啥

输出示例：

USER TTY FROM LOGIN@ WHAT

alice pts/0 123.123.123.123 09:00 vim /etc/passwd （？这很不Alice！）

——如果发现用户`alice`在修改敏感文件，但她本人正在度假…恭喜，你可能被入侵了！

隐藏骚操作：给黑客发“惊吓彩蛋”

（没错，真能这么玩！）

修改SSH配置文件`/etc/ssh/sshd_config`，添加：

Match Address 666.666.666.666

黑客IP

ForceCommand echo "Hey FBI! This is a honeypot :)"

效果：黑客一登录就会看到这句嘲讽，心态爆炸！（谨慎使用，建议搭配蜜罐系统）

防范篇：4步让黑客绕道走

1. 改SSH端口：默认22端口就像家门钥匙放地毯下——赶紧改！

2. 禁用root登录：用普通用户+sudo权限，黑客难度+10086。

3. 密钥登录>密码：把密码比喻成纸条锁，密钥就是虹膜识别。

4. Fail2Ban工具：自动封禁暴力破解IP，堪称“服务器防狼喷雾”。

(段：互动拉满)

现在轮到你实操了！执行完命令如果发现可疑记录…别慌，评论区扣【救命】我会闪现解答。下次教你们用「骚话日志」嘲讽黑客——关注不迷路！（溜去检查自己的服务器了~）

TAG:vps怎么查谁登陆过,vps查看记录,如何查看vps是否被墙,如何查看vps端口