Linux 通过日志 查看服务器是否被入侵

Linux查看/var/log/wtmp文件查看可疑IP登陆

命令： last -f /var/log/wtmp

last命令就通过访问这个文件获得这些信息，并以反序从后向前显示用户的登录记录，last也能根据用户、终端tty或时间显示相应的记录。该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件。因此随着系统正常运行时间的增加，该文件的大小也会越来越大，增加的速度取决于系统用户登录的次数。

如果您的服务器已经使用比较长的一段时间了，建议自己查看一下是不是有可疑的IP登录了，如果发现不是自己的或者不是您朋友地区的IP，想必可能密码被破解了，建议马上修改服务器的密码！