点击这里获取免费大流量卡

查询系统用户使用过的指令:

[root@smart202 ~]# more /home/koscom/.bash_history
vncserver :2
vi /home/koscom/.Xauthority 
vi /home/koscom/.vnc/xstartup 
vi /home/koscom/.vnc/xstartup 
vi /etc/sysconfig/vncservers 
vi /etc/rc.local 
vncserver -kill :2

这样确实能看到使用者使用了的指令,但是也可以删除掉自己的使用记录。使用psacct套件即可解决这些问题:

ubuntu:
apt-get install acct
service acct start
psacct程序提供了几个进程活动监视工具: ac, lastcomm, accton和sa.
.ac命令显示用户连接时间的统计。
.lastcomm命令显示系统执行的命令。
.accton命令用于打开或关闭进程记帐功能。
.sa命令统计系统进程记帐的情况。
显示每一天的连线统计时间:
$ ac -d
显示每一个用户的总计连线时间和所有用户总计连线时间:
$ ac -p
# sa    
  以结果输出的第一行为例:
4 0.36re 0.12cp 31156k up2date
分析:
. 0.36re “实际时间” 单位为分钟。
. 0.12cp 系统和用户时间总数(CPU时间, 单位为分钟)
. 31156K 核心使用所占的平均CPU时间, 一个单元的大小为1K
. up2date 命令名
显示每一个用户的进程数量和CPU时间数:
# sa -u
找出谁在占用CPU
你可以通过查看re, k, cp/cpu(见上面输出解释)时间来找出可疑的活动, 或某个用户/命令占用了所有的CPU时间。 如果CPU/Memeory使用数(命令)在不断增加, 可以说明命令存在问题。
sa -m
[root@smart202 ~]# rpm -qa | grep psacct
psacct-6.3.2-39.rhel4
[root@smart202 ~]# rpm -ql psacct-6.3.2-39.rhel4  //查询该套件安装了哪些东西?
/etc/logrotate.d/psacct
/etc/rc.d/init.d/psacct
/sbin/accton
/usr/bin/ac
/usr/bin/lastcomm
/usr/sbin/accton
/usr/sbin/dump-acct
/usr/sbin/dump-utmp
/usr/sbin/sa
/usr/share/info/accounting.info.gz
/usr/share/man/man1/ac.1.gz
/usr/share/man/man1/lastcomm.1.gz
/usr/share/man/man8/accton.8.gz
/usr/share/man/man8/sa.8.gz
/var/account
[root@smart202 ~]# /etc/rc.d/init.d/psacct start //系统默认不启动psacct,如此开启
开启进程记帐:                                             [  确定  ]
[root@smart202 ~]# chkconfig psacct on   //设定开机自动启动
[root@smart202 ~]#  
[root@smart202 ~]# lastcomm    //更详细的查看使用者执行了哪些指令?
sh                      koscom   __         0.00 secs Wed Jul 16 13:24
awk                     koscom   __         0.00 secs Wed Jul 16 13:24
awk                     koscom   __         0.00 secs Wed Jul 16 13:24
df                      koscom   __         0.00 secs Wed Jul 16 13:24
sh                      koscom   __         0.00 secs Wed Jul 16 13:24
awk                     koscom   __         0.00 secs Wed Jul 16 13:24
ls                      koscom   __         0.00 secs Wed Jul 16 13:24
sh                      koscom   __         0.00 secs Wed Jul 16 13:24
wc                      koscom   __         0.00 secs Wed Jul 16 13:24
ps                      koscom   __         0.01 secs Wed Jul 16 13:24
......
若只是想是否有人执行不被允许的程序,例如会占用大量的系统资源者,可以如下搜寻:
[root@smart202 ~]# lastcomm | awk '{print $1}' | sort | uniq
accton
awk
bash
chkconfig
clear
consoletype
date
df
grep
initlog
ipcs
lastcomm
ls
more
ntsysv
ps
psacct
rpmq
runlevel
sesh
sh
touch
wc

上述指令会取出执行lastcomm指令时,所有输出的第一个栏位,加以排序,且删除重复部分。当发现有异常命令存在时,再详细区查询。

点击这里获取免费大流量卡

如果您喜欢本站,点击这儿可以捐赠本站
这些信息可能会帮助到你: 联系作者 | 报毒说明
修改版本软件,加群提示等均为修改者自留,非本站信息,注意鉴别