我在一台共享机器上有一个名为 wow.sh 的脚本。
‘ps -ef | grep wow’ 显示同一脚本的多次运行。
我如何使用 tty 信息来查找有问题的用户的 ip?
答案1
您可以尝试“last”,它将显示您上次的登录信息。因此,如果您将范围缩小到某个用户,则可以运行last username,第三列是他们的登录来源。
答案2
从最基本的意义上讲,您需要追踪谁运行了它以及他们从哪里登录:
ps axo command,user,lstart | grep [w]ow
第二个字段为您提供用户。如果这很明显(即不是“root”或某些共享用户名),那么您可以使用“last”,正如 Alex 提到的:
ps axo user,command,lstart | grep [w]ow | cut -f1 -d' ' | xargs last -n 1000 -iF
只需将第一个命令(“lstart”最后一列)的日期与最后报告的登录/注销进行匹配即可。
答案3
如果违规方仍处于登录状态(即他们没有disown运行脚本或者类似程序),who则会向您提供已登录用户的 IP 和 tty。