Linux服务器遭受黑客攻击时的日志分析排除

最新推荐文章于 2024-04-23 22:18:28 发布
置顶 最新推荐文章于 2024-04-23 22:18:28 发布
阅读量1.4k 收藏 12
点赞数
分类专栏: linux 文章标签: linux centos 运维
原文链接:https://blog.csdn.net/wxh0000mm/article/details/102948268
版权

0x00 前言

Linux系统拥有非常灵活和强大的日志功能,可以保存几乎所有的操作记录,并可以从中检索出我们需要的信息。 本文简介一下Linux系统日志及日志分析技巧。

0x01 日志简介

日志默认存放位置:/var/log/

查看日志配置情况:more /etc/rsyslog.conf

Linux服务器遭受黑客攻击时的日志分析排除

 

比较重要的几个日志:

登录失败记录:/var/log/btmp //lastb

最后一次登录:/var/log/lastlog //lastlog

登录成功记录: /var/log/wtmp //last

登录日志记录:/var/log/secure

目前登录用户信息:/var/run/utmp //w、who、users

历史命令记录:history

​仅清理当前用户: history -c

0x02 日志分析技巧

A、常用的shell命令

Linux下常用的shell命令如:find、grep 、egrep、awk、sed

小技巧:

1、grep显示前后几行信息:

​
• 标准unix/linux下的grep通过下面參数控制上下文:
• grep -C 5 foo file 显示file文件里匹配foo字串那行以及上下5行
• grep -B 5 foo file 显示foo及前5行
• grep -A 5 foo file 显示foo及后5行
• 查看grep版本号的方法是
• grep -V

2、grep 查找含有某字符串的所有文件

 grep -rn "hello,world!" 
 * : 表示当前目录所有文件,也可以是某个文件名
 -r 是递归查找
 -n 是显示行号
 -R 查找所有文件包含子目录
 -i 忽略大小写

3、如何显示一个文件的某几行:

 cat input_file | tail -n +1000 | head -n 2000
 #从第1000行开始,显示2000行。即显示1000~2999行

4、find /etc -name init

//在目录/etc中查找文件init

5、只是显示/etc/passwd的账户

`cat /etc/passwd |awk -F ':' '{print $1}'` 
//awk -F指定域分隔符为':',将记录按指定的域分隔符划分域,填充域,•$0则表示所有域,$1表示第一个域,•$n表示第n个域。

6、sed -i '153,$d' .bash_history

删除历史操作记录,只保留前153行

B、日志分析技巧

A、/var/log/secure

1、定位有多少IP在爆破主机的root帐号: 
grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
​
定位有哪些IP在爆破:
grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c
​
爆破用户名字典是什么?
 grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr

2、登录成功的IP有哪些:
grep "Accepted " /var/log/secure | awk ‘{print $11}’ | sort | uniq -c | sort -nr | more

登录成功的日期、用户名、IP:
grep "Accepted " /var/log/secure | awk ‘{print $1,$2,$3,$9,$11}’

3、增加一个用户kali日志:
Jul 10 00:12:15 localhost useradd[2382]: new group: name=kali, GID=1001
Jul 10 00:12:15 localhost useradd[2382]: new user: name=kali, UID=1001, GID=1001, home=/home/kali
, shell=/bin/bash
Jul 10 00:12:58 localhost passwd: pam_unix(passwd:chauthtok): password changed for kali
#grep “useradd” /var/log/secure

4、删除用户kali日志:
Jul 10 00:14:17 localhost userdel[2393]: delete user ‘kali’
Jul 10 00:14:17 localhost userdel[2393]: removed group ‘kali’ owned by ‘kali’
Jul 10 00:14:17 localhost userdel[2393]: removed shadow group ‘kali’ owned by ‘kali’

grep “userdel” /var/log/secure


5、su切换用户:
Jul 10 00:38:13 localhost su: pam_unix(su-l:session): session opened for user good by root(uid=0)

sudo授权执行:
sudo -l
Jul 10 00:43:09 localhost sudo: good : TTY=pts/4 ; PWD=/home/good ; USER=root ; COMMAND=/sbin/shutdown -r now

2、/var/log/yum.log

软件安装升级卸载日志:

yum install gcc
​
[root@bogon ~]# more /var/log/yum.log
​
Jul 10 00:18:23 Updated: cpp-4.8.5-28.el7_5.1.x86_64
Jul 10 00:18:24 Updated: libgcc-4.8.5-28.el7_5.1.x86_64
Jul 10 00:18:24 Updated: libgomp-4.8.5-28.el7_5.1.x86_64
Jul 10 00:18:28 Updated: gcc-4.8.5-28.el7_5.1.x86_64
Jul 10 00:18:28 Updated: libgcc-4.8.5-28.el7_5.1.i686
奋斗的码农QA
关注
  • 0
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux配置日志服务器的图文教程
01-10
前言 本文主要介绍的是关于Linux配置日志服务器的相关内容,分享来供大家参考学习,下面话不多说了,来一起看看详细的介绍吧 日志服务器配置文件:/etc/rsyslog.conf 服务器端: 服务器IP如下: 编辑日志服务器的配置文件: 这里UDP或者TCP任选一个 将注释的两句复制一遍,然后取消注释即可 进入目录下创建配置文件,配置需要监控的客户端 Vim编辑器打开 内容如下: 内容格式如下: :属性, 比较操作符, “值” 保存位置 属性包括以下内容 fromhost 哪个主机名发过来的 fromhost-ip 哪个ip发过来的 msg 从日志信息里的内
如何从日志文件溯源攻击手法?
RuoLi_s的博客
03-21 3817
本文讲的是如何从日志文件溯源攻击手法?,如果想要查清系统遭到黑客入侵的原因或漏洞,通过日志查找是一种很好的方法。日志文件是由服务器提供的非常有价值的信息。几乎所有的服务器,服务和应用程序都提供某种日志记录。但是什么是日志文件?日志文件是记录服务或应用程序运行期间发生的事件和操作。 那么为什么日志文件如此重要?日志文件为我们提供了服务器行为的精确视图,以及有关正在访问服务器间,方式和“由谁”的关键信息。这种信息可以帮助我们监控性能,排除故障和调试应用程序,以及日志可以帮助取证调查人员分析导致恶意活动的事
服务器入侵了,溯源全过程(实战)
diaobusi的博客
06-22 1550
黑客为什么之前一直以 ssh方式用“git”等账号连接,在19号之前都是显示账号不可用,为什么19号那天突然就创建了一个git账号并成功入侵?应急处理的方式太过于草率,简单除暴的关闭防火墙端口,如果是在生产环境中,要怎么去完美处理这类事件?对Linux日志文件还不够熟悉,在翻阅日志,只知道大概的方面,并不知道该何处入手分析?对linux后门不够了解。linux命令掌握的不够全面。址的SSH连接。你配置防火墙规则,例如限制特定IP地址IP地址范围对SSH端口的访问。
Linux服务器黑客攻击的检测.pdf
09-06
Linux服务器黑客攻击的检测.pdf
确保Linux服务器安全 防范四种级别攻击
01-10
随着Linux企业应用的不断扩展。 有大量的网络服务器都在使用Linux操作系统。Linux服务器的安全性能受到越来越多的关注。 这里根据Linux服务器受到攻击的深度以级别形式列,并提不同的解决方案。 随着Linux企业应用的扩展,有大量的网络服务器使用Linux操作系统。Linux服务器的安全性能受到越来越多的关注,这里根据Linux服务器受到攻击的深度以级别形式列,并提不同的解决方案。 对Linux服务器攻击的定义是:攻击是一种旨在妨碍、损害、削弱、破坏Linux服务器安全的未授权行为。攻击的范围可以从服务拒绝直至完全危害和破坏Linux服务器。对Linux服务器攻击有许多种类,
剖析网站遭遇的三次入侵 分析黑客入侵方法
蓝法典的专栏
03-15 1743
随着教育信息化进程的推进,各类教育网站大量涌现。由于教育网站大多是学校计算机教师自己开发管理的小型网站,普通存在着设备、技术、专业人员不足的问题,网站自身存在漏洞,常常成为黑客攻击的目标,严重影响了正常业务的开展。这里,笔者希望通过对教育网站所遭遇的三次黑客入侵的剖析,来分析黑客常用的入侵方法和手段。  第一次遭遇入侵  1. 入侵现象:2004年春节,网站的公告栏上突然现“此论坛有漏洞,管理
应急响应笔记(Linux
daxi0ng的博客
10-21 1580
A、日志分析 1、除root之外,是否还有其它特权用户(uid 为0)awk -F: '$3==0{print $1}' /etc/passwd 2、可以远程录的帐号信息 awk '/\$1|\$6/{print $1}' /etc/shadow 3、查看录失败信息 grep -o "Failed password" /var/log/secure|uniq -c 4、...
linux 服务器 检查是否被攻击 常用命令
whatday的专栏
07-26 2330
centos/RHELLinux查看Secure和audit日志。8.使用top或htop命令查看进程对CPU/内存的消耗情况。5.使用netstat命令查看本机各端口连接情况。7.使用ps命令查看当前系统中正在运行的进程信息。1.使用last命令查看服务器的用户记录。关键字”Acceptedpassword“2.使用who命令查看当前录的用户。关键字”type=USER_AUTH“6.使用lsof命令查看打开的文件。12.使用nmap命令查看打开的端口。3.查看命令执行记录。...
Linux 中实查看日志的3种方法
热门推荐
weixin_53641036的博客
09-26 5万+
如果当前日志文件被旋转,tail 命令现在将指向一个存档日志文件,该文件现在不会记录任何更改。但是,当文件内容更新特别快速的候,刚刚更新的内容一闪而过,这种情况下,查看起来就不那么方便了。另外,它按行来拆分视图。tail 命令是可以的,除此以外,还有其他的一些工具,本文将会介绍这些可以实查看日志文件的工具。日志文件是动态的,其内容随会变化,要监测日志文件,需要在日志文件内容改变也能实看到。比如,我们在跟踪日志文件的候,经常会监视某个特定的术语(字符串),在快速更新的大量内容中跟踪,非常不方便。
如果网站被黑客攻击了之后,要如何处理呢?
2302_77709854的博客
06-05 510
3、Windows系统打上最新的补丁,然后就是mysql或者sql数据库补丁,还有php以及IIS,serv-u就更不用说了,经常漏洞的东西,还有就是有些IDC们使用的虚拟主机管理软件。重新为所有网站目录配置权限,关闭可执行的目录权限,对图片和非脚本目录做无权限处理。5、完成以上步骤后,您需要把管理员账户密码,以及数据库管理密码,特别是sql的sa密码,还有mysql的root密码,要知道,这些账户都是具有特殊权限的,黑客可以通过他们得到系统权限!2、下载服务器日志,并且对服务器进行全盘杀毒扫描。
Linux 服务器性能分析和测试工具详解.docx
11-16
Linux 服务器性能分析和测试工具详解.docx
一次Linux服务器被hack的过程分析
01-31
下面我们通过分析黑客服务器上留下的工具,了解入门的hack方法、学习相应的防范措施。hacker一台入侵服务器,通常首先使用”w”命令查看陆者信息、使用”passwd”命令修改当前用户密码,然后通过wget,...
百战RHCE(第十九战:Linux进阶命令十六-系统日志的极简管理)
little_startoo的博客
04-20 634
哈喽哈喽哈喽,大家好啊,很高兴大家能看到这篇文章! 首先,本人目前是计算机专业的大一学生,基于对Linux操作系统的爱好,参与了RHCE的培训班,而我这次编写的 《百战RHCE》文章,是基于我自己的学习经验浓缩而来的,保证简洁,方便理解! 而作为一名大学生,我想通过坚持的高水平文章编写带给我自己本身经验的不断进步,同也希望让更多的Linux新手能接触到更加系统的文章学习。本次《百战RHCE》,会由浅入深,从最基本的命令行,到编写非常复杂的Ansible 自动化脚本 因为本人和你一样也是学习者,所..
Linux查看日志命令(4种常见方式)
小赵的博客
02-18 2万+
Linux查看日志的几种常用命令,亲测非常实用
2022第三届全国大学生网络安全精英赛练习题(8)
派大星子的博客
11-24 8617
2022第三届全国大学生网络安全精英赛练习题(8)
网站安全分析以及被黑处理
晓夜璨丰
12-06 603
随着Internet和Intranet/Extranet的迅速发展,Web已经对商业、工业、银行、财政、教育、ZF和娱乐及我们的工作和生活产生了深远的影响。许多传统的信息和数据库系统正在被移植到互联网上,电子商务迅速增长,早已超过了国界。范围广泛的、复杂的分布式应用正在Web环境中现。 一、网站面临的威胁 随着Internet和Intranet/Extranet的迅速发展,Web已经对商
linux系统/var/log目录下的信息详解
weixin_34366546的博客
02-28 2023
一、/var目录 /var 所有服务的录的文件或错误信息文件(LOG FILES)都在/var/log下,此外,一些数据库如MySQL则在/var/lib下,还有,用户未读的邮件的默认存放地点为/var/spool/mail 二、:/var/log/ 系统的引导日志:/var/log/boot.log例如:Feb 26 10:40:48 sendmial : sendmail startu...
【转载】【解密】日志追凶之从看日志了解黑客攻击手法
安班博客
04-03 2706
  夜已深,人已睡  而我们的路,才刚刚起航。  在下给大家献上一个巨作,可花了我不少间!  首先我们来认识两个日志。    www.xxx.com-access_log  www.xxx.com-error_log  一个是错误日志,一个是普通的日志。  首先我们接到一位客户的客户的求助,网站被入侵,数据被篡改,服务器已关闭。于是开始了一波日志追凶之路。  首先我们先把他们的网站后台访问记录给...
13 Linux实操篇-网络配置
最新发布
qq_74289024的博客
04-23 1048
子网ip 与网关。
linux服务器日志
03-16
Linux服务器日志是指记录服务器运行状态、系统事件、应用程序运行情况等信息的文件。它可以帮助管理员了解服务器的运行情况,及发现问题并进行处理。常见的Linux服务器日志包括系统日志、应用程序日志、安全日志等。管理员可以通过查看日志文件来了解服务器的运行情况,排查故障,提高服务器的稳定性和安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值