分析安全日志

最新推荐文章于 2022-08-08 11:03:05 发布
最新推荐文章于 2022-08-08 11:03:05 发布
阅读量1.5k 收藏 4
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luminous_you/article/details/110354944
版权

/var/log/secure

  1. 定位有多少IP在爆破主机的root帐号:
    grep “Failed password for root” /var/log/secure | awk ‘{print $11}’ | sort | uniq -c | sort -nr | more
  2. 定位有哪些IP在爆破:
    grep “Failed password” /var/log/secure|grep -E -o “(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][09]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)”|uniq -c
  3. 爆破用户名字典是什么?
    grep “Failed password” /var/log/secure|perl -e ‘while($_=<>){ /for(.*?) from/; print “$1\n”;}’|uniq -c|sort nr
  4. 定位有多少IP在爆破主机的root帐号:
    grep "Accepted " /var/log/secure | awk ‘{print $11}’ | sort | uniq -c | sort -nr | more
  5. 定位有哪些IP在爆破:
    grep "Accepted " /var/log/secure | awk ‘{print $1,$2,$3,$9,$11}’

access_log

  1. 查看 IP
    [root@localhost logs]# cat access_log | awk ‘{print $1}’
  2. 显示访问前10 位的IP 地址,便于查找攻击源
    [root@localhost logs]# cat access_log|awk ‘{print $1}’|sort|uniq -c|sort -nr|head -10
  3. 显示指定时间以后的日志
    [root@localhost logs]# cat access_log |awk ‘$4>="[1/Jan/2020:00:00:00"’
  4. 查看某一时间内的 IP 连接情况
    [root@localhost logs]# grep "2020:05"access_log |awk ‘{print $4}’|sort|uniq –c |sort -nr
  5. 查看指定的 IP 做了什么
    [root@localhost logs]# cat access_log |grep 192.168.3.3| awk ‘{print $1"\t"$8}’| sort|uniq –c |sort –nr|less
  6. 查看最近访问量最高的文件
    [root@localhost logs]# cat access_log |tail 10000| awk ‘{print $7}’| sort|uniq –c |sort –nr|less
luminous_you
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
911-2019 信息安全技术 日志分析产品安全技术要求
01-13
最新版的日志分析产品的技术要求
linux 登录日志_linux实用脚本--生成所有登录用户的操作历史
weixin_39898550的博客
12-04 320
概述作为系统管理员,不可能总是实时去盯着谁登陆了系统,做了一些什么操作,下面主要通过一个脚本来生成所有登录用户的操作历史,从而更好的管理linux系统,看是不是有一些违规操作。一、查看日志文件1、查看/var/log/wtmp文件看是否有可疑IP登陆 last -f /var/log/wtmp该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件。因此随着系统正常运行时间的增加,该文件的大小...
应急响应笔记(Linux)
daxi0ng的博客
10-21 1580
A、日志分析 1、除root之外,是否还有其它特权用户(uid 为0)awk -F: '$3==0{print $1}' /etc/passwd 2、可以远程登录的帐号信息 awk '/\$1|\$6/{print $1}' /etc/shadow 3、查看登录失败信息 grep -o "Failed password" /var/log/secure|uniq -c 4、...
linux常见应急命令,linux ssh爆破应急响应相关命令
weixin_31842775的博客
05-01 416
1、查看ssh端口(默认22)可疑连接[root@host ~]#netstat -anplt |grep 222、查看除root外是否有特权账户awk -F: ‘$3==0{print $1}’ /etc/passwd3、查看可疑远程登录的账号信息awk ‘/$1|$6/{print $1}’ /etc/shadow4、查看ssh登录失败的记录grep -o “Failed password” ...
安全基础--25--Linux应急响应常用的命令
武天旭的博客
10-21 2379
1、账号安全 1、查询特权用户特权用户(uid 为0) [root@localhost ~]# awk -F: '$3==0{print $1}' /etc/passwd 2、查询可以远程登录的帐号信息 [root@localhost ~]# awk '/\$1|\$6/{print $1}' /etc/shadow 3、除root帐号外,其他帐号是否存在sudo权限。如非管理需要,普通帐号应删除sudo权限 [root@localhost ~]# more /etc/sudoers | grep -v
Linux入侵应急响应与排查
cdyunaq的博客
08-08 1946
在数据泄漏方面,mysql或者其他数据库的日志就非常重要了,首先查看mysql配置文件配置了哪几种日志记录,如bin log,query log慢查询日志,慢查询日志要在超过特定阀值,才会触发。查看被入侵后,在系统上执行过哪些命令,使用root用户登录系统,检查/home目录下的用户主目录的.bash_history文件。默认情况下,系统可以保存1000条的历史命令,并不记录命令执行的时间,根据需要进行安全加固。查看敏感目录,如/tmp目录下的文件,同时注意隐藏文件夹,以.为名的文件夹具有隐藏属性。...
日志实时分析@安全
05-14
恶意请求(机器) 攻击尝试(应用/业务) 对日志实时分析
啄木鸟日志分析系统
12-21
自主开发的啄木鸟日志分析系统,支持自己编写入侵检测及日志的规则,可以详细的分析并有统计图展示模式,备份在两台电脑上还可以实时的备份系统日志,使用教程请看我的博客
Web日志安全分析工具
10-25
1.支持检测多种流行的攻击类型,并自动识别攻击者IP所在物理位置 2.支持自定义攻击特征库,如添加攻击类型和攻击特征 3.生成人性化的分析报告,便于分析攻击者的入侵过程
大规模日志的实时安全分析.pdf
08-07
如何建立一款基于大规模日志分析的规则引擎(各种识别规则或模型)、实时计算的安全分析产品;从日志找到一些好玩的东西,并在日志发现各种惊喜和秘密。分享在这个过程携程的一些辛酸历程。
Linux用户登录记录日志和相关查看命令
热门推荐
NSD1907的博客
03-29 1万+
Linux用户登录记录日志和相关查看命令 Linux用户登录信息放在三个文件: 1  /var/run/utmp:记录当前正在登录系统的用户信息,默认由who和w记录当前登录用户的信息,uptime记录系统启动时间; [root@root log]# cat /var/run/utmp 2  /var/log/wtmp:记录当前正在登录和历史登录系统的用户信息,默认由last命令查看; [root@root log]# last -n 5/var/log/wtmp 3  /var/log/btmp:记
Linux应急响应资料
渗透测试
04-05 1316
目录一、linux应急响应:二、常用命令三、linux应急响应日志分析:四、linux应急响应病毒查杀 一、linux应急响应: 1.linux账户文件和密码文件: /etc/passwd linux账户(以前的老版本,会显示密码,现在都是显示x,密码文件则在/etc/shadow) 存储格式:用户标识号(用户标识号为 0 时代表是超级用户)、组号、用户登录系统后的主目录(例如:/home/myuser)、用户所使用的SHEll类型(例如:csh、或者是bash) /etc/shadow li
Linux服务器遭受黑客攻击时的日志分析排除
my_csdn_lsq的博客
04-22 1492
0x00 前言 Linux系统拥有非常灵活和强大的日志功能,可以保存几乎所有的操作记录,并可以从检索出我们需要的信息。 本文简介一下Linux系统日志日志分析技巧。 0x01 日志简介 日志默认存放位置:/var/log/ 查看日志配置情况:more /etc/rsyslog.conf   比较重要的几个日志: 登录失败记录:/var/log/btmp //lastb 最后一次登录...
日志分析篇---Linux日志分析
永不垂头的博客
01-29 2714
日志分析篇—Linux日志分析 文章目录日志分析篇---Linux日志分析前言一、日志简介二、日志分析技巧1.常用的shell命令2.日志分析技巧三、我的公众号 前言 Linux系统拥有非常灵活和强大的日志功能,可以保存几乎所有的操作记录,并可以从检索出我们需要的信息。 本文 简介一下Linux系统日志日志分析技巧。 一、日志简介 日志默认存放位置:/var/log/ 查看日志配置情况:more /etc/rsyslog.conf 日志文件 与 说明 /var/log/cron 记
安全日志:/var/log/secure 详解
weixin_49129782的博客
07-06 8164
安全日志:/var/log/secure /var/log/secure 一般用来记录安全相关的信息,记录最多的是哪些用户登录服务器的相关日志,如果该文件很大,说明有人在破解你的 root 密码,或 爆力破解: [root@localhost ~]# tail /var/log/secure Dec 27 14:04:51 139 sshd[30956]: Disconnecting: Too many authentication failures [preauth] Dec 27 14:04:53 13
linux 应急响应 病毒清除 系统加固
whatday的专栏
11-12 672
概述 Linux环境下处理应急响应事件往往会更加的棘手,因为相比于Windows,Linux没有像Autorun、procexp这样的应急响应利器,也没有统一的应急响应处理流程。所以,这篇文章将会对Linux环境下的应急响应流程进行讲解,并且提供每一个环节所用到的shell命令,以帮助大家快速、系统化地处理Linux环境下的病毒。 处理Linux应急响应主要分为这4个环节:识别现象->...
实战Linux应急响应踩坑与深度反思(下)
技术超强的网络安全平台
05-21 512
隐藏进程应急响应 首先状况是出现了系统卡顿,不知道怎么回事,查看了自己的CPU并未发现异常 查看是否有异常进程并未发现有异常进程,思考的问题来了为什么会有外网连接的ip 查看任务并未发现定时任务 在/etc下面的目录查找最近12小时被修改的文件,在这里第一开始的时候是在~目录下查找,由于文件太多不易分辨,所以就依次在一些常用的系统目录进行查找 /etc/ld.so.preload 文件的变更需要引起注意,这里涉及到 Linux 动态链接库预加载机制,是一种常用的进程隐藏方法,而 top 等命令都是受
/var/log/secure
Jonathan158的专栏
05-22 6510
按照我个人的理解,/var/log/secure 这个文件是记录服务器登陆行为的。那个文件如果很大,说明有人在破解你的root密码(一般是SSH暴力破解),可以通过这个日志查到对方的IP,每次登陆,无论密码对错都会被详细记录下来,所以文件会很大,解决办法是在/etc/hosts.deny 文件加入IP,服务器就会拒绝这个IP的SSH登陆,语法: sshd:IP 如果对方频繁换IP,可以用
百战RHCE(第十九战:Linux进阶命令十六-系统日志的极简管理)
little_startoo的博客
04-20 635
哈喽哈喽哈喽,大家好啊,很高兴大家能看到这篇文章! 首先,本人目前是计算机专业的大一学生,基于对Linux操作系统的爱好,参与了RHCE的培训班,而我这次编写的 《百战RHCE》文章,是基于我自己的学习经验浓缩而来的,保证简洁,方便理解! 而作为一名大学生,我想通过坚持的高水平文章编写带给我自己本身经验的不断进步,同时也希望让更多的Linux新手能接触到更加系统的文章学习。本次《百战RHCE》,会由浅入深,从最基本的命令行,到编写非常复杂的Ansible 自动化脚本 因为本人和你一样也是学习者,所..
linux日志分析工具
最新发布
03-16
Linux日志分析工具是一种用于分析和管理Linux系统日志的软件工具。它可以帮助管理员快速定位系统故障和异常,提高系统的稳定性和安全性。常见的Linux日志分析工具包括ELK、GraylogLogwatch等。这些工具可以对系统日志进行收集、分析、可视化等操作,提供了丰富的功能和灵活的配置选项,适用于各种规模和复杂度的系统环境。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值