第一章应急响应-Linux日志分析

最新推荐文章于 2024-07-08 22:09:55 发布

傲游繁星

最新推荐文章于 2024-07-08 22:09:55 发布

阅读量198

点赞数 7

分类专栏：玄机平台文章标签： linux

本文链接：https://blog.csdn.net/2403_85472272/article/details/140099058

版权

玄机平台专栏收录该内容

2 篇文章 0 订阅

订阅专栏

第一章应急响应-Linux日志分析

账号root密码linuxrz
ssh root@IP
1.有多少IP在爆破主机ssh的root帐号，如果有多个使用","分割
2.ssh爆破成功登陆的IP是多少，如果有多个使用","分割
3.爆破用户名字典是什么？如果有多个使用","分割
4.登陆成功的IP共爆破了多少次
5.黑客登陆主机后新建了一个后门用户，用户名是多少

1.有多少IP在爆破主机ssh的root帐号，如果有多个使用","分割

查看 auth 日志有两条，分别是auth.log和auth.log.1，我们的判断基础是这两个文件，其次这里我们需要判断出哪些爆破的是 Root 账号，所以需要搜索 “Failed password for root”

cat /var/log/auth.log.1 /var/log/auth.log | grep -a "Failed password for root" | awk '{print $11}' | sort | uniq -c | sort -nr | more

192.168.200.2,192.168.200.31,192.168.200.32

2.ssh爆破成功登陆的IP是多少，如果有多个使用","分割

搜索 auth 日志，当 SSH 登录成功时，会回显Accepted，所以我们在日志文件中匹配这个关键词

cat /var/log/auth.log.1 /var/log/auth.log | grep -a "Accepted " | awk '{print $11}' | sort | uniq -c | sort -nr | more

192.168.200.2

3.爆破用户名字典是什么？如果有多个使用","分割

cat auth.log* |grep -a "Failed password" | grep -o 'for .* from'|uniq -c|sort -nr

user,hello,root,test3,test2,test1

4.登陆成功的IP共爆破了多少次

cat auth.log* |grep -a "192.168.200.2"|grep "for root"

由于第一题出现4 192.168.200.2

所以4次

5.黑客登陆主机后新建了一个后门用户，用户名是多少

查看/etc/passwd

查看日记

cat auth.log* |grep -a "new user"

9812826594)]

查看日记

cat auth.log* |grep -a "new user"

傲游繁星

关注

7
点赞
踩
3

收藏

觉得还不错? 一键收藏
0
评论
第一章应急响应-Linux日志分析

我们的判断基础是这两个文件，其次这里我们需要判断出哪些爆破的是 Root 账号，所以需要搜索 “Failed password for root”1.有多少IP在爆破主机ssh的root帐号，如果有多个使用","分割。2.ssh爆破成功登陆的IP是多少，如果有多个使用","分割。搜索 auth 日志，当 SSH 登录成功时，会回显。3.爆破用户名字典是什么？如果有多个使用","分割。5.黑客登陆主机后新建了一个后门用户，用户名是多少。查看 auth 日志有两条，分别是。4.登陆成功的IP共爆破了多少次。
复制链接

扫一扫