如何使用 tty 信息找出违规用户

如何使用 tty 信息找出违规用户

我在一台共享机器上有一个名为 wow.sh 的脚本。

‘ps -ef | grep wow’ 显示同一脚本的多次运行。

我如何使用 tty 信息来查找有问题的用户的 ip?

答案1

您可以尝试“last”,它将显示您上次的登录信息。因此,如果您将范围缩小到某个用户,则可以运行last username,第三列是他们的登录来源。

答案2

从最基本的意义上讲,您需要追踪谁运行了它以及他们从哪里登录:

ps axo command,user,lstart | grep [w]ow

第二个字段为您提供用户。如果这很明显(即不是“root”或某些共享用户名),那么您可以使用“last”,正如 Alex 提到的:

ps axo user,command,lstart | grep [w]ow | cut -f1 -d' ' | xargs last -n 1000 -iF

只需将第一个命令(“lstart”最后一列)的日期与最后报告的登录/注销进行匹配即可。

答案3

如果违规方仍处于登录状态(即他们没有disown运行脚本或者类似程序),who则会向您提供已登录用户的 IP 和 tty。

相关内容