- 工信部備案號 滇ICP備05000110號-1
- 滇公安備案 滇53010302000111
- 增值電信業(yè)務(wù)經(jīng)營(yíng)許可證 B1.B2-20181647、滇B1.B2-20190004
- 云南互聯(lián)網(wǎng)協(xié)會(huì )理事單位
- 安全聯(lián)盟認證網(wǎng)站身份V標記
- 域名注冊服務(wù)機構許可:滇D3-20230001
- 代理域名注冊服務(wù)機構:新網(wǎng)數碼
Linux系統日志分析技巧
藍隊云小課堂:
日志默認存放位置:/var/log/
查看日志配置情況:more /etc/rsyslog.conf
日志文件 | 說(shuō)明 |
/var/log/cron | 記錄了系統定時(shí)任務(wù)相關(guān)的日志 |
/var/log/cups | 記錄打印信息的日志 |
/var/log/dmesg | 記錄了系統在開(kāi)機時(shí)內核自檢的信息, 也可以使用dmesg命令直接查看內核自檢信息 |
/var/log/mailog | 記錄郵件信息 |
/var/log/message | 記錄系統重要信息的日志。 這個(gè)日志文件中會(huì )記錄Linux系統的絕大多數重要信息, 如果系統出現問(wèn)題時(shí),首先要檢查的就應該是這個(gè)日志文件 |
/var/log/btmp | 記錄錯誤登錄日志, 這個(gè)文件是二進(jìn)制文件,不能直接vi查看,而要使用lastb命令查看 |
/var/log/lastlog | 記錄系統中所有用戶(hù)最后一次登錄時(shí)間的日志, 這個(gè)文件是二進(jìn)制文件,不能直接vi,而要使用lastlog命令查看 |
/var/log/wtmp | 永久記錄所有用戶(hù)的登錄、注銷(xiāo)信息,同時(shí)記錄系統的啟動(dòng)、重啟、關(guān)機事件。 同樣這個(gè)文件也是一個(gè)二進(jìn)制文件,不能直接vi,而需要使用last命令來(lái)查看 |
/var/log/utmp | 記錄當前已經(jīng)登錄的用戶(hù)信息,這個(gè)文件會(huì )隨著(zhù)用戶(hù)的登錄和注銷(xiāo)不斷變化, 只記錄當前登錄用戶(hù)的信息。同樣這個(gè)文件不能直接vi, 而要使用w,who,users等命令來(lái)查詢(xún) |
/var/log/secure | 記錄驗證和授權方面的信息,只要涉及賬號和密碼的程序都會(huì )記錄, 比如SSH登錄,su切換用戶(hù),sudo授權, 甚至添加用戶(hù)和修改用戶(hù)密碼都會(huì )記錄在這個(gè)日志文件中 |
日志分析技巧:
1、定位有多少I(mǎi)P在爆破主機的root帳號:
grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
定位有哪些IP在爆破:
grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c
爆破用戶(hù)名字典是什么?
grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\\n";}'|uniq -c|sort -nr
2、登錄成功的IP有哪些:
grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
登錄成功的日期、用戶(hù)名、IP:
grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'
3、增加一個(gè)用戶(hù)kali日志:
Jul 10 00:12:15 localhost useradd[2382]: new group: name=kali, GID=1001
Jul 10 00:12:15 localhost useradd[2382]: new user: name=kali, UID=1001, GID=1001, home=/home/kali
, shell=/bin/bash
Jul 10 00:12:58 localhost passwd: pam_unix(passwd:chauthtok): password changed for kali
#grep "useradd" /var/log/secure
4、刪除用戶(hù)kali日志:
Jul 10 00:14:17 localhost userdel[2393]: delete user 'kali'
Jul 10 00:14:17 localhost userdel[2393]: removed group 'kali' owned by 'kali'
Jul 10 00:14:17 localhost userdel[2393]: removed shadow group 'kali' owned by 'kali'
# grep "userdel" /var/log/secure
5、su切換用戶(hù):
Jul 10 00:38:13 localhost su: pam_unix(su-l:session): session opened for user good by root(uid=0)
sudo授權執行:
sudo -l
Jul 10 00:43:09 localhost sudo: good : TTY=pts/4 ; PWD=/home/good ; USER=root ; COMMAND=/sbin/shutdown -r now
更多小知識,可聯(lián)系藍隊云一起探討。
售前咨詢(xún)
售后咨詢(xún)
備案咨詢(xún)
二維碼
TOP