linux 查看用户登录信息

查看用户登录历史，读取的是/var/log/wtmp文件中的内容，此文件为二进制格式，无法直接查看其内容。

参数

示例

无参数

查看指定用户登录时间

-a：将登陆ip显示在最后一行

-d：将主机名转换为IP地址

-f：读取特定文件

-F：显示完整时间

i：显示IP

因为是本地登录，所以是0.0.0.0 

-n：设置列出名单的显示列数

-R：不显示主机名

-t：查看指定时间之前的用户登录历史

显示2022年01月10日00时00分00秒之前登录的用户 

-s：查看指定时间之后的用户登录历史

显示2022年01月10日00时00分00秒之后登录的用户 

-p：显示指定时间登录的用户信息

显示2022年01月09日登录的用户 

-w：显示完整用户名和主机名称

-x：显示系统开关机以及执行等级信息

用于列出登入系统失败的用户相关信息。读取的是/var/log/btmp文件 需要sudo权限 

参数

用法与last基本一致

可简单查看所有用户最后一次的登陆时间，默认是读取/var/log/lastlog文件内容

参数

示例

无参数

-b：显示哪天之前登录的用户

-c：清除指定用户信息，需要和-u配合使用

-S：需配合-u指定用户，将指定用户的登录时间定为当前时间

-t：显示指定天数以来的登录信息

-u：查看指定用户的信息

显示系统中有哪些使用者正在使用

参数

-a：显示所有信息

-b：显示启动信息，可以用于查询启动时间

-d：显示退出的进程。

-H：显示标题栏

-l：显示已登录用户的信息

-m：显示精简信息

-q：显示当前有几个用户正在使用

-r：显示本地系统节点的运行级别

-s：仅列出名字、线路和时间字段，等同于不加参数

-u：显示每个当前用户的用户名、tty、登录时间、线路活动和进程标识。

-T：显示 tty 终端的状态，“+”表示对任何人可写，“-”表示仅对 root 用户或所有者可写，“？”表示遇到线路故障。

用于显示目前登入系统的用户信息。与who的区别：w 命令除了能知道目前已登陆的用户信息，还可以知道每个用户执行任务的情况。

参数

示例

无参数

-h：不显示标题

-u：忽略执行程序的名称

-f：不显示远程主机名字段

就是不显示from字段 

-o：使用旧样式

缺少几个字段的数据 

-i：显示IP地址或主机名

显示当前当登录的用户的用户名 

参数

命令后面接文件,常用的文件有/var/log/wtmp，/var/run/utmp

示例

还可以进行统计 

以上的方法都是查看正常使用账号密码登录的账号的方法。反弹shell的统计和查看方法不在其中。一般反弹shell都会调用/bin/bash可/bin/sh。因此，我们可以借助这个方法，查看进程进行筛选。例如：

ps -ef|grep "/bin/bash"`
或
ps -ef|grep "sh"
或
ps -ef|grep "socat"