У меня есть сценарий под названием wow.sh на общей машине.
'ps -ef | grep wow 'показывает несколько запусков одного и того же скрипта.
Как я могу использовать информацию о tty, чтобы найти IP-адрес нарушителя?
В самом простом смысле вам нужно отследить, кто его запускал и откуда они вошли в систему:
ps axo command,user,lstart | grep [w]ow
Второе поле дает вам пользователя. Если это очевидно (т.е. не «root» или какое-то общее имя пользователя), вы можете использовать «последний», как упоминает Алекс:
ps axo user,command,lstart | grep [w]ow | cut -f1 -d' ' | xargs last -n 1000 -iF
Просто сравните их дату с первой команды (последний столбец «lstart») с последним входом / выходом из системы.
Вы можете попробовать «последний», который покажет вам последние входы в систему. Поэтому, если вы сузили круг до пользователя, вы можете запустить last username а третий столбец - это их источник входа.
Если нарушившая сторона все еще будет авторизована (т.е. она не disown-ing скрипты или аналогичные), затем who предоставит вам IP и tty вошедших в систему пользователей.