last登录信息全部丢失，很傻的问题，已解决!

smilecat

去年5月份装的freebsd7.0做的web服务器，没装桌面，平时都用pietty远程登录管理！最近突然发现主页里面的代码被修改，然后进系统last命令查看了一下登录日志，发现只有当天的了，后来我用备份恢复了，又没有再出现问题，觉得很奇怪啊，last日志应该记录了一年多啊，怎么会丢失了，各位大虾帮我进来看看
smilecat601114@www@/home/smilecat601114:last
smilecat601114   ttyp0    61.184.198.221   Wed Oct  7 18:26   still logged in
smilecat601114   ttyp1    218.199.48.3     Sat Oct  3 18:07 - 18:12  (00:04)
smilecat601114   ttyp0    218.199.48.3     Sat Oct  3 17:52 - 20:06  (02:13)
reboot           ~                         Sat Oct  3 17:47
shutdown         ~                         Sat Oct  3 17:46
smilecat601114   ttyp2    218.199.48.3     Sat Oct  3 17:43 - shutdown  (00:03)
smilecat601114   ttyp1    218.199.48.3     Sat Oct  3 17:16 - shutdown  (00:30)
smilecat601114   ttyp1    61.184.198.221   Sat Oct  3 17:09 - 17:11  (00:02)
smilecat601114   ttyp0    61.184.198.221   Sat Oct  3 16:46 - shutdown  (01:00)

wtmp begins Sat Oct  3 16:46:03 CST 2009
最后一句的意思是从2009年10月3号才开始记录的意思么，那么以前的呢？如果真是入侵，那就麻烦大了！

[ 本帖最后由 smilecat 于 2009-10-9 08:29 编辑 ]

HonestQiao

ls /var/log/wtmp* | sed "s/^/last -f/g" | csh

你就可以看到需要的信息了。

/var/log下面，大部分内容，每个月都会被rotate一次的。

ground

执行这句：ls /var/log/wtmp* | sed "s/^/last -f/g" | csh，我的机器怎么出现的都是乱码（也有部分显示正确的）？
                                   Wü GÁàjÿñÚÿE©Iùù% Wed Dec 23 09:27   still logged in
»Ž|`pÅ ]}êÆ?0ÿ ÿNêÇ¿UMn`pÅÿ" Wed Nov 19 19:30   still logged in
ü{
  °PÕÌä  QÀ1Ð

smilecat

谢谢楼上的HonestQiao ，强烈感谢，不过你写的命令能解释一下就好了，后面的我实在看不懂啊，只能照葫芦画瓢了，我明天去试一下，我就觉得奇怪了，我就开了SSH，还限制了IP，怎么就那么容易被入侵了呢？

[ 本帖最后由 smilecat 于 2009-10-7 22:33 编辑 ]

hotsnow

日志轮询嘛

last -f wtmp.x

man last 就知道了

HonestQiao

原帖由 ground 于 2009-10-7 22:11 发表
执行这句：ls /var/log/wtmp* | sed "s/^/last -f/g" | csh，我的机器怎么出现的都是乱码（也有部分显示正确的）？
                                   Wü GÁàjÿñÚÿE© ...

原帖由 smilecat 于 2009-10-7 22:29 发表
谢谢楼上的HonestQiao ，强烈感谢，不过你写的命令能解释一下就好了，后面的我实在看不懂啊，只能照葫芦画瓢了，我明天去试一下，我就觉得奇怪了，我就开了SSH，还限制了IP，怎么就那么容易被入侵了呢？

ls /var/log/wtmp*
ls /var/log/wtmp* | sed "s/^/last -f/g"
看看输出是什么。

就可以基本上明白这个语句干嘛的。

simonfirst

# unset LANG试试（乱码问题）

[ 本帖最后由 simonfirst 于 2009-10-8 11:42 编辑 ]

ghosTM55

话说，这几天老有人在想暴力破解我的FreeBSD。。。

smilecat

感谢楼上的各位兄弟！谢谢你们了！

ground

原帖由 simonfirst 于 2009-10-8 11:23 发表
# unset LANG试试（乱码问题）

试过 还是乱码！


ls /var/log/wtmp* | sed "s/^/last -f/g" | csh
使用cshell来执行管道来的命令？还是用默认shell来执行管道命令并用c规范显示？
我的默认shell是/bin/sh
shell命令不熟，谁指导下，多谢！！


我试着
# ls /var/log/wtmp.0.gz | sed "s/^/last -f/g" | csh
wtmp.0.gz begins Fri Oct 09 2009 15:36:24

# ls /var/log/wtmp.1.gz | sed "s/^/last -f/g" | csh
Ыªà;  =3       ÷Ûw †3ÇÈ&ETHÏÐ&AumlÏÄ@Ï Thu Dec 26 05:05   still logged in
wtmp.1.gz begins Sun Apr 27 1997 20:14:53
应该/var/log/wtmp.1.gz 中就是乱码吧

[ 本帖最后由 ground 于 2009-10-9 15:43 编辑 ]