linux服务器被攻击日志分析
创始人
2024-09-26 10:53:06
0

Linux系统拥有非常灵活和强大的日志功能,可以保存几乎所有的操作记录,并可以从中检索出我们需要的信息。 本文简介一下Linux系统日志及日志分析技巧。

一、 日志简介

日志默认存放位置:/var/log/

查看日志配置情况:more /etc/rsyslog.conf

Linux服务器遭受黑客攻击时的日志分析排除

比较重要的几个日志:

登录失败记录:/var/log/btmp //lastb

最后一次登录:/var/log/lastlog //lastlog

登录成功记录: /var/log/wtmp //last

登录日志记录:/var/log/secure

目前登录用户信息:/var/run/utmp //w、who、users

历史命令记录:history

​仅清理当前用户: history -c

二、日志分析技巧

A、常用的shell命令

Linux下常用的shell命令如:find、grep 、egrep、awk、sed

小技巧:

1、grep显示前后几行信息:


• 标准unix/linux下的grep通过下面參数控制上下文:
• grep -C 5 foo file 显示file文件里匹配foo字串那行以及上下5行
• grep -B 5 foo file 显示foo及前5行
• grep -A 5 foo file 显示foo及后5行
• 查看grep版本号的方法是
• grep -V

2、grep 查找含有某字符串的所有文件

grep -rn “hello,world!”

  • : 表示当前目录所有文件,也可以是某个文件名
    -r 是递归查找
    -n 是显示行号
    -R 查找所有文件包含子目录
    -i 忽略大小写

3、如何显示一个文件的某几行:

cat input_file | tail -n +1000 | head -n 2000
#从第1000行开始,显示2000行。即显示1000~2999行

4、find /etc -name init

//在目录/etc中查找文件init

5、只是显示/etc/passwd的账户

cat /etc/passwd |awk -F ':' '{print $1}'
//awk -F指定域分隔符为’:',将记录按指定的域分隔符划分域,填充域,•$0则表示所有域, 1 表示第一个域 , • 1表示第一个域,• 1表示第一个域,•n表示第n个域。

6、sed -i ‘153,$d’ .bash_history

删除历史操作记录,只保留前153行

B、日志分析技巧

A、/var/log/secure

1、定位有多少IP在爆破主机的root帐号:
grep “Failed password for root” /var/log/secure | awk ‘{print KaTeX parse error: Expected 'EOF', got '}' at position 3: 11}̲' | sort | uniq…_=<>){ /for(.*?) from/; print “$1\n”;}’|uniq -c|sort -nr

2、登录成功的IP有哪些:
grep "Accepted " /var/log/secure | awk ‘{print $11}’ | sort | uniq -c | sort -nr | more

登录成功的日期、用户名、IP:
grep "Accepted " /var/log/secure | awk ‘{print $1,$2,$3,$9,$11}’

3、增加一个用户kali日志:
Jul 10 00:12:15 localhost useradd[2382]: new group: name=kali, GID=1001
Jul 10 00:12:15 localhost useradd[2382]: new user: name=kali, UID=1001, GID=1001, home=/home/kali
, shell=/bin/bash
Jul 10 00:12:58 localhost passwd: pam_unix(passwd:chauthtok): password changed for kali
#grep “useradd” /var/log/secure

4、删除用户kali日志:
Jul 10 00:14:17 localhost userdel[2393]: delete user ‘kali’
Jul 10 00:14:17 localhost userdel[2393]: removed group ‘kali’ owned by ‘kali’
Jul 10 00:14:17 localhost userdel[2393]: removed shadow group ‘kali’ owned by ‘kali’
grep “userdel” /var/log/secure


5、su切换用户:
Jul 10 00:38:13 localhost su: pam_unix(su-l:session): session opened for user good by root(uid=0)

sudo授权执行:
sudo -l
Jul 10 00:43:09 localhost sudo: good : TTY=pts/4 ; PWD=/home/good ; USER=root ; COMMAND=/sbin/shutdown -r now

2、/var/log/yum.log

软件安装升级卸载日志:

yum install gcc

[root@bogon ~]# more /var/log/yum.log

Jul 10 00:18:23 Updated: cpp-4.8.5-28.el7_5.1.x86_64
Jul 10 00:18:24 Updated: libgcc-4.8.5-28.el7_5.1.x86_64
Jul 10 00:18:24 Updated: libgomp-4.8.5-28.el7_5.1.x86_64
Jul 10 00:18:28 Updated: gcc-4.8.5-28.el7_5.1.x86_64
Jul 10 00:18:28 Updated: libgcc-4.8.5-28.el7_5.1.i686

相关内容

热门资讯

发现一款(369山东麻将)外挂... 您好,369山东麻将这款游戏可以开挂的,确实是有挂的,需要了解加微【136704302】很多玩家在这...
查到实测辅助(红龙软件德州扑克... 查到实测辅助(红龙软件德州扑克)外挂软件透明挂神器(透视)软件透明挂(有挂透视辅助)-哔哩哔哩;1....
一分钟了解!微乐三打一辅助软件... 您好,微乐三打一辅助软件这款游戏可以开挂的,确实是有挂的,需要了解加微【136704302】很多玩家...
透视透明挂(wpk有透视外挂!... 透视透明挂(wpk有透视外挂!软件透明挂)辅助(透视)辅助透视测试(有挂教会)-哔哩哔哩;1、不需要...
一起来探讨(Wepoke辅助a... 一起来探讨(Wepoke辅助ai)外挂透明挂辅助下载,太坑了其实真的是有挂(有挂科普)-哔哩哔哩;1...
我来向大家传授!hhpoker... 您好,这款游戏可以开挂的,确实是有挂的,需要了解加微【841106723】很多玩家在这款游戏中打牌都...
一起来探讨(情怀麻将)外挂透视... 一起来探讨(情怀麻将)外挂透视器辅助神器(透视辅助)原来一直总是是有挂(2024已更新)(哔哩哔哩)...
透视系统(德扑之星埋牌)外挂软... 透视系统(德扑之星埋牌)外挂软件透明挂脚本(辅助透视)软件透明挂(有挂猫腻)-哔哩哔哩;德扑之星埋牌...
一分钟了解(Wepoke开发)... 一分钟了解(Wepoke开发)外挂透明挂辅助测试,太坑了确实有挂其实是有挂(有挂攻略)-哔哩哔哩;A...
总算了解!哈灵斗地主记牌工具(... 总算了解!哈灵斗地主记牌工具(辅助),太离谱了原来是有挂猫腻(2021已更新)(哔哩哔哩);1、点击...