Linux服务器被入侵后，如何通过登录日志排查入侵源？（实战指南：从日志到溯源）

当你的Linux服务器遭遇入侵，冷静且快速的响应是关键。而登录日志则是Linux服务器入侵后最重要的线索来源。通过分析这些日志，你可以追溯攻击者的行为轨迹，定位入侵源。本文将手把手教你如何利用系统登录日志进行登录日志排查，实现有效的入侵源分析，并为后续的安全审计提供依据。

1. 登录日志藏在哪里？

Linux系统主要使用以下日志文件记录登录事件：/var/log/secure（RHEL/CentOS）记录所有安全相关消息，包括ssh登录、su切换等；/var/log/auth.log（Debian/Ubuntu）同样记录认证日志；/var/log/wtmp记录所有成功登录的会话信息，可使用last命令查看；/var/log/btmp记录失败的登录尝试，用lastb查看。

2. 快速查看登录记录的命令

以下命令能帮你快速筛选异常：last -F 显示完整时间戳的登录记录；last -i 显示IP地址而非主机名；journalctl _COMM=sshd 使用systemd查看sshd日志；grep "Failed" /var/log/secure 筛选失败登录。

3. 实战：三步揪出入侵源

第一步：确定入侵时间范围通过lastb或grep大量失败尝试的时间点，结合业务异常，大致判断入侵窗口期。第二步：提取可疑IP使用grep -oE "([0-9]{1,3}\.){3}[0-9]{1,3}" /var/log/secure | sort | uniq -c | sort -nr统计访问IP，重点分析高频或异常地区的IP。第三步：关联分析将可疑IP与威胁情报平台交叉查询，检查是否被标记为恶意；同时查看该IP在日志中的具体操作（如执行的命令），还原攻击链条。

4. 案例：一次ssh爆破溯源

某管理员在/var/log/secure中发现大量来自单一IP的Failed password记录，结合last看到该IP曾在凌晨成功登录。通过history和~/.bash_history发现攻击者下载了挖矿脚本。最终封禁IP并清理后门，完成入侵源分析。

5. 加固建议

定期进行安全审计，启用日志远程同步，配置fail2ban等工具自动防御。只有持续监控，才能在Linux服务器入侵发生时快速响应。