大家好呀！我是你们的老朋友【服务器侦探阿明】！今天要聊的话题相当刺激——你的VPS可能正在被“暗中观察”！😱 别慌，本侦探教你用3条Linux命令，像柯南破案一样把登陆过你服务器的“小尾巴”全揪出来！（顺便附赠防黑小技巧~）

一、谁动了我的VPS？先看“监控录像”

想象你的VPS是个便利店，`last`命令就是24小时无死角的监控回放。输入：

```bash

last

```

你会看到这样的“犯罪记录”（咳咳，是登陆记录）：

```

root pts/0 114.114.114.114 Tue Oct 3 14:30 - 16:20 (1:50)

unknown tty1 Mon Oct 2 03:01 - crash (01:23)

翻译一下：

- root：用户账号（如果是陌生账号，警报拉响！）

- pts/0：远程登录（SSH居多）

- 114.114.114.114：IP地址（快查它是不是你家/公司的！）

💡 运维冷知识：`last`默认读取`/var/log/wtmp`文件，黑客可能会删改这个文件。这时候就要请出进阶版侦探工具——

二、黑客删了日志？上“法医取证”工具！

如果`last`显示空空如也（嫌疑人毁灭证据了？），别急！用`lastb`查失败登录记录（就像小偷撬锁失败的监控）：

sudo lastb

输出示例：

hacker ssh:notty 222.222.222.222 Tue Oct 3 02:30 - 02:30 (00:00)

admin ssh:notty 123.123.123.123 Mon Oct 2 18:45 - 18:45 (00:00)

🔍 重点看这些信号：

1. 大量连续失败登录 → 八成是暴力破解攻击！

2. 陌生IP+陌生账号组合 → 赶紧拉黑（下文教你怎么做）

⚠️ 注意：`lastb`读取的是`/var/log/btmp`，需要sudo权限。如果连这个文件都被删了……兄弟，你该升级服务器安全了！

三、实时抓捕！“活捉”当前在线用户

如果怀疑有人正在你服务器上“逛街”，用`w`或`who`命令实时查看（相当于便利店喊一嗓子：“谁在店里？！”）：

w

USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT

root pts/0 114.114.114.114 14:30 5mins 0.10s 0.05s vim /etc/passwd

👮 破案关键点：

- WHAT列：对方在干啥？（比如`vim /etc/passwd`这种敏感操作，直接红牌罚下！）

- FROM列IP异常：立刻用`kill -9 [PID]`终止他的会话！（先用`ps aux | grep sshd`找PID）

四、防黑指南：给VPS装上“防盗门”

光会破案不够，还得防患于未然！老鸟们都在用的3招：

1️⃣ 改SSH端口（默认22端口就像家门钥匙插在锁上）：

sudo vi /etc/ssh/sshd_config

修改Port为如2222

sudo systemctl restart sshd

2️⃣ 禁用密码登录，改用密钥（相当于指纹锁）：

sudo vi /etc/ssh/sshd_config

添加：

PasswordAuthentication no

PubkeyAuthentication yes

3️⃣ 用fail2ban自动封IP（敢撬锁就报警！）：

sudo apt install fail2ban

Debian系

sudo yum install fail2ban

CentOS系

五、终极灵魂拷问：“查日志”和“换密钥”哪个更重要？

答案是——都重要！但优先级如下：

1️⃣ 先改密码/密钥+封禁可疑IP（阻止继续入侵）

2️⃣ 再查日志分析攻击路径（比如是否利用了漏洞）

3️⃣ 最后加固系统（更新软件+配置防火墙）

举个🌰：去年某粉丝的VPS被挖矿，就是因为一直用弱密码+没查日志，黑客潜伏了3个月才被发现……血泪教训啊！

一下今天的破案工具包🛠️

| 命令 | 作用 | 适用场景 |

||--||

| `last` | 查看历史登录记录 | 常规巡检 |

| `lastb` | 查看失败登录尝试 | 发现暴力破解 |

| `w/who` | 查看当前在线用户 | “抓现行犯” |

最后送大家一句服务器界名言：“不查日志的运维，就像不锁门的房东——迟早被搬空！” 🚨

（对了，如果你发现可疑IP来自火星……那可能是你家猫踩到键盘了🐱⌨️）

TAG:vps怎么查谁登陆过,如何查看vps配置,vps怎么查看主机名和端口,如何查看vps端口,如何查看vps是否被墙