Linux

誰登錄了我的伺服器?

  • December 26, 2016

昨天我執行了w命令。通常,輸出如下所示:

USER     TTY      FROM                  LOGIN@   IDLE   JCPU   PCPU WHAT
root     pts/0    p4...2f50.dip0.t..... 21:01    4.00s  0.05s  0.00s w

它是我用來測試我的一些項目的私人測試伺服器。唯一使用它的人是我,所以我也應該是唯一登錄它的人。但是,它顯示了以下內容:

USER     TTY      FROM             LOGIN@          IDLE   JCPU   PCPU WHAT
root     pts/0    p4...2f50.dip0.t 21:01           4.00s  0.05s  0.00s w
root     ...      p4...2f50.S:0    (8 days ago)    ...    ...    ...   /bin/bash

我添加了“…”,因為我不記得值並且不幸忘記了截圖。

重要的是,似乎有第二個人長時間登錄。我還注意到“FROM”的值非常相似。它以完全相同的數字和字母序列開頭,以.S:0or結尾:S.0(我也不記得了)。

現在,我不太了解這些值的含義。真的有其他人登錄嗎?或者它可能是我自己沒有正確關閉的“錯誤”SSH-Session?

以 .TTY 結尾的 TTY:S.0通常由screen. 最有可能的是:沒有人登錄該 shell,您只是忘記了它,連接關閉,shell 還活著。

要跟踪您的程序是如何創建的,您可以查看ps fauxww | less、鍵入/ttyname以搜尋您的 tty 名稱,您應該找到它的父程序(可能是 bash 或 sshd),以及它的子程序:

root     10307  0.2  0.0 107732  4260 ?        Ss   03:59   0:00  \_ sshd: root@pts/0    
root     10326  1.0  0.0  23240  4372 pts/0    Ss   03:59   0:00      \_ bash
root     10361  0.0  0.0  18600  1408 pts/0    R+   03:59   0:00          \_ ps fauxww
root     10362  0.0  0.0   9544   928 pts/0    S+   03:59   0:00          \_ less

或使用螢幕:

root     10326  0.1  0.0  23240  4416 pts/0    Ss   03:59   0:00      \_ bash
root     12524  0.0  0.0  26920  1116 pts/0    S+   04:00   0:00          \_ screen
root     12525  0.0  0.0  27052  1396 ?        Ss   04:00   0:00              \_ SCREEN
root     12526  0.3  0.0  23280  4464 pts/1    Ss   04:00   0:00                  \_ /bin/bash

引用自:https://serverfault.com/questions/822679