玄机-第一章 应急响应-Linux日志分析

前言

记录记录

1.有多少IP在爆破主机ssh的root帐号，如果有多个使用","分割
2.ssh爆破成功登陆的IP是多少，如果有多个使用","分割
3.爆破用户名字典是什么？如果有多个使用","分割
4.登陆成功的IP共爆破了多少次
5.黑客登陆主机后新建了一个后门用户，用户名是多少

前置知识

/var/log/syslog：记录系统的各种信息和错误。

/var/log/auth.log：记录身份验证相关的信息，如登录和认证失败。

/var/log/kern.log：记录内核生成的日志信息。

/var/log/dmesg：记录系统启动时内核产生的消息。

/var/log/boot.log：记录系统启动过程中的消息。

/var/log/messages：记录系统的广泛消息，包括启动和应用程序信息。

/var/log/secure：记录安全相关的消息。

/var/log/httpd/：记录Apache HTTP服务器的访问和错误日志（若安装了Apache）。

/var/log/nginx/：记录Nginx服务器的访问和错误日志（若安装了Nginx）

1.有多少IP在爆破主机ssh的root帐号，如果有多个使用","分割

使用命令

cat auth.log.1| grep -a "Failed password for root" | awk '{print $11}' |sort | uniq -c | sort -nr | more

然后从小到大排序

flag{192.168.200.2,192.168.200.31,192.168.200.32}

2.ssh爆破成功登陆的IP是多少，如果有多个使用","分割

改一下前置条件即可

cat auth.log.1| grep -a "Accepted password for root" | awk '{print $11}' |sort | uniq -c | sort -nr | more

flag{192.168.200.2}

3.爆破用户名字典是什么？如果有多个使用","分割

先看登录正确的

cat auth.log.1| grep -a "Accepted password " | perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}' | uniq -c | sort -nr

发现有root

cat auth.log.1| grep -a "Failed password " | perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}' | uniq -c | sort -nr

flag{user,hello,root,test3,test2,test1}

4.登陆成功的IP共爆破了多少次

cat auth.log.1 | grep -a "Failed password for root" | awk '{print $11}' | sort | uniq -c | sort -nr | more

可以看到是4次

flag{4}

5.黑客登陆主机后新建了一个后门用户，用户名是多少

cat auth.log.1 |grep -a "new user"

可以看到这个test2很可疑

flag{test2}