linux系统中，wtmp、utmp和btmp是什么英文单词的缩写？小弟初学，望各位大神鼎力相助

tmp应该是temp/temporary 临时文件 会被后来的记录更新的文件

u应该是user 用户： utmp会呈山悔迅现逗此使用该系统的用户

w应该是who

b应该是bad：记录不成功的前芹登陆

因为云服务器老是被植入挖矿木马，所以多少学习了如何发现异常的一些知识点。整理如下：

异常：发现/var/log/btmp文件逐渐增大，且文件占据空间较大。

/var/log/btmp用于记录错误的登录尝试

可能存在暴力破解，即使用密码字典登录ssh服务，此日志需使用 lastb 打开

（1）查看登录次数>陆耐氏100的IP

（2）防火墙屏蔽单个恶意登录的IP

添加完成后，用 service iptables status 可以查看iptables服务的当前状态。

（3）防火墙屏蔽大量恶意登录的IP

使用 ipset 命令。

①创建IP集IPlimit，增加IP限制为10万条

②为IP黑名单添加前缀参数

这些IP我抽查了几个，亩祥有来自英国、德国、美国、印度，甚至我国某些省市。

③ 使用ipset 命令加载这个文件到IP集

④创建iptables规则来早散屏蔽IP集中的IP

⑤查看iptables防护墙的filter表是否添加成功

⑥清理/var/log/btmp文件

iptables只是三种ip段，

封110.0.0.0—110.255.255.255 ip段的方法是在源ip里输入，110.0.0.0/8；

封110.110.0.0—110.110.255.255 ip段的方法是在源ip里输入，110.110.0.0/16；

封110.110.110.0—110.110.110.255 ip段的方法是在源ip里输入，110.110.110.0/24；

（1）加入开机自启动

chkconfig iptables on

（2）重启服务

service iptables restart

---