logwatch报告中显示昨天有SSH账号登录并执行了一些维护命令,想想真奇怪这黑客具然上来维护系统.
查看了下最近并没有登录记录
tail -n100 /var/log/secure
注意到/var/log目录下日志文件很大,并且没有.x的轮询文件
ll /var/log
搜索日期确实有登录记录,原来日志中没有记录年份,因为日志没轮询把去年的登录记录当成是昨天的了
cat /var/log/secure |grep ‘Jul 16’
手动运行下logrotate
/etc/cron.daily/logrotate
提示没有uucp这个用户,执行失败(uucp用户之前手功删了)
删除uucp日志后就能正常运行
rm /etc/logrotate.d/uucp
No Responses (yet)
Stay in touch with the conversation, subscribe to the RSS feed for comments on this post.