第一章-应急响应-Linux日志分析

1.有多少IP在爆破主机ssh的root帐号，如果有多个使用",“分割
2.ssh爆破成功登陆的IP是多少，如果有多个使用”,“分割
3.爆破用户名字典是什么？如果有多个使用”,“分割
4.登陆成功的IP共爆破了多少次
5.黑客登陆主机后新建了一个后门用户，用户名是多少

基础日志

1
2
3
4

登陆失败记录 /var/log/btmp  
最后一次登录 /var/log/lastlog  
登录成功记录 /var/log/wtmp  
登录日志记录 /var/log/secure  

日志分析技巧

1
2
3
4
5
6
7
8

/var/log/secure  
定位有多少IP在爆破主机的root帐号:  
grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more  
定位有哪些IP在爆破：  
grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c  
登陆成功的IP有哪些  
grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more  
  

分许auth.log日志
查看多少IP在爆破主机ssh的root帐号
grep -a "Failed password for root" /var/log/auth.log.1 | awk '{print $11}' | uniq -c | sort -nr | more
flag{192.168.200.2,192.168.200.32,192.168.200.31}
登陆成功的IP有哪些
grep -a "Accepted " /var/log/auth.log.1 | awk '{print $11}' | uniq -c | sort -nr | more
flag{192.168.200.2}
爆破用户名字典是什么？
grep -a "Failed password" /var/log/auth.log.1 | perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'| uniq -c | sort -nr
flag{user,hello,root,test3,test2,test1}
登陆成功的IP共爆破了多少次
grep -a "Failed password for root" /var/log/auth.log.1 | awk '{print $11}' | uniq -c | sort -nr | more
grep -a "Accepted " /var/log/auth.log.1 | awk '{print $11}' | uniq -c | sort -nr | more
flag{4}
黑客登陆主机后新建了一个后门用户，用户名是多少
cat /etc/passwd 查看可疑用户 或者利用 cat /var/log/auth.log.1 |grep -a "new user"
flag{test2}