日志文件
日志文件是记录|系统运行信息的文件,Linux系统内记载很多不同类型的日志,例如:
- Linux内核消息
- 登入事件
- 程序错误日志
- 软件安装日志
以上日志内记录系统内一些关键的信息,通过这些日志内记录的信息,可以帮助安全人员寻找到攻击者蛛丝马迹。
常见的日志信息
/var/log/demsg 内核的一些信息
/var/log/auth.log 此文件中包含系统授权信息,以及用户登录和使用的身份验证机制
/var/log/boot/log 包含系统启动时记录的信息
/var/log/daemon.log 正在与运行的各种系统后台守护程序将信息记录到此文件中
/var/log/kern.lg 包含内核记录的信息。有助于解决定制内核的故障
/var/log/lastlog 显示所有用户的最近登录信息。这不是ascii文件。管理员可以使用lastlog命令查看此文件的内容。
/var/log/maillog和/var/log/mail.log 记录系统上运行的邮件服务器的信息。例如,sendmail将有关所有已发送项目的信息记录到此文件中
/var/log/user.log 包含有关所有用户级日志的信息
/var/log/secure 包含与身份验证和授权权限相关的信息。例如,sshd在这里记录所有信息,包括登录失败。
举例说明
登入验证日志
- 不知道日志的每一行是做什么的,去搜索。
- 既然是登入验证肯定会有成功和失败,那么什么状态是成功或失败。
- 除成功失败外是不是包含其他信息,如:用户名、登入来源IP地址。
登入失败次数
vulab@sechelper:/var/log$ sudo grep "Failed password" auth.log | wc -l
如果统计到的登录失败次数特别多,那么能说明是遭到攻击了。
统计攻击者IP个数
攻击次数排列(由高到低)
参考资料:【应急响应】Linux篇-排查系统日志