auth.log日志查看

最新推荐文章于 2024-07-10 10:16:49 发布
最新推荐文章于 2024-07-10 10:16:49 发布
阅读量5.5k 收藏 3
点赞数 1
文章标签: 运维 awk java
原文链接:https://my.oschina.net/dmdgeeker/blog/108377
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

     新手文章!!!请多指教!      
     以前一直想分析下自己主机的log日志,来看看究竟是哪些人想入侵我的主机(虽然我现在主机是个实验性质的,里面几乎没有什么有价值的东西)。
     我的主机系统为ubuntu server 12.04 64位。虽然我很早就知道auth.log记录了登陆的信息,但由于shell的基本功不好,面对着长长的log不知道如何下手。这些天看了下shell脚本的写法,终于有了点眉目。 

Feb  3 07:44:39 server sshd[28013]: reverse mapping checking getaddrinfo for mail1.tdabbat.ru [88.147.142.29] failed - POSSIBLE BREAK-IN ATTEMPT!
Feb  3 07:44:34 server sshd[28011]: Invalid user recruit from 88.147.142.29
Feb  3 07:44:34 server sshd[28011]: input_userauth_request: invalid user recruit [preauth]
Feb  3 07:44:34 server sshd[28011]: pam_unix(sshd:auth): check pass; user unknown
Feb  3 07:44:34 server sshd[28011]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=88.147.142.29
Feb  3 07:44:36 server sshd[28011]: Failed password for invalid user recruit from 88.147.142.29 port 36392 ssh2
Feb  3 07:44:36 server sshd[28011]: Received disconnect from 88.147.142.29: 11: Bye Bye [preauth]
     上面为auth.log里面一条基本的ssh认证失败记录。这次我想做的就是把里面的IP地址以及用户名提取出来,统计一下次数。
     首先,我使用grep提取出所有带IP地址的行。 
grep -i 'invalid' $1 |\
    grep -v 'Failed' |\
    grep '[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}' |\
     这个表达式首先提取了带invalid且不带Failed的这一行,因为每一次失败的log记录有好几条,而我只需要一条就可以了。类似于下面这行: 
Feb  3 07:44:26 server sshd[28006]: Invalid user staff from 88.147.142.29
      当所有记录提取成这样后,就可以轻松地使用awk来提取想要的字段了。比如我想提取用户名和IP地址,使用awk就是: 
awk '{print $8,$10}'
       如果还想有进一步的操作,只需再在结果上处理即可。下面是我提取最近试图入侵我的主机的统计信息(第一行为次数,第二行为IP): 
8 107.23.144.48
    133 110.75.189.5
      8 114.80.138.6
    156 119.163.120.182
      3 121.101.222.146
    186 121.125.73.22
      2 122.192.35.240
     53 122.225.96.117
      5 123.127.160.102
    649 151.237.189.113
      1 180.186.74.94
     34 183.61.244.190
      2 192.34.62.41
      3 210.48.231.70
      1 211.100.61.26
     11 219.239.113.241
    112 221.132.73.154
    130 58.215.75.198
      4 60.21.206.60
  24418 61.182.202.57
      7 61.236.64.56
      2 61.240.36.1
     36 88.147.142.29
      由上可以看到,IP地址61.182.202.57共进行了24418次尝试。而尝试比较多的用户名如下(第一行为次数,第二行为用户名): 
102 test
    101 oracle
     43 admin
     42 nagios
     29 guest
     21 webmaster
     20 user
     20 mythtv
     17 david
     17 dan
     15 test1
     14 tomcat
     14 recruit
     14 hasegawa
     14 ftpuser
     13 www
      由上可以看出,一些简单的用户名尝试的次数更多,更容易被破解。所以一个好的用户名也是很重要的。
     上面这些数据只是我个人主机在某一段时间所得,没有特别的统计意义哈。另外,希望有热心的朋友指教!3Q

转载于:https://my.oschina.net/dmdgeeker/blog/108377

weixin_34336526
关注
ELK stack实战之结合rsyslog分析系统日志(auth.log)
weixin_33801856的博客
10-08 431
打开微信扫一扫,关注微信公众号【数据与算法联盟】 转载请注明出处:http://blog.csdn.net/gamer_gyt 博主微博:http://weibo.com/234654758 Github:https://github.com/thinkgamer 写在前边的话 在之前的文章中我么谈到了EL...
driftingblues3靶机(auth.log日志、命令执行)
m0_66299232的博客
12-19 687
1.回弹shell成功后用python来弹交互式shell,在robertj用户下发现.ssh目录。那么我们就可以在用户名处注入可以被执行的脚本然后尝试访问他就可以实现RCE命令执行。8.把ip给替换成可以执行提权的命令,然后把环境变量改了,就可以成功提权。2.看下敏感目录里的信息,不让访问/eventadmins目录。等几分钟再执行curl命令,发现成功记录了登陆的信息。1.故意登录ssh,造成报错,看能否在日志里看到。7.查看之后,发现特别像auth.log的内容。9.最后进入root目录,成功拿下!
科普文:看懂Linux日志分析
最新发布
为无为,事无事,味无味。
07-10 1242
日志文件是Linux系统中极为重要的一部分,它们记录了系统和应用程序的各种活动信息。通过日志文件,系统管理员可以监控系统的运行状态、发现潜在的问题,并进行故障排除。在介绍具体的日志分析命令之前,首先了解一下Linux系统中常见的日志文件。它们通常位于/var/log:记录系统的通用日志信息,适用于大多数Linux发行版。:记录系统的通用日志信息,通常在Red Hat系的发行版中使用。:记录身份验证相关的日志信息,如登录尝试、sudo命令使用等。:记录内核相关的日志信息。:记录系统启动时的内核消息。
Deepin 系统日志查看
幽灵 逐梦--专栏
09-27 4697
前言 日志文件能够详细记录系统每天发生的各种各样的事件。用户可以通过日志文件检查错误产生的原因,或者在受到攻击和黑客入侵时追踪攻击者的踪迹。 日志对于系统的安全来说非常重要,它记录了系统每天发生的各种各样的事情,用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。日志主要的功能是审计和监测。它还可以实时地监测系统状态,监测和追踪侵入者。 ##基本概念 ###日志作用 日志的两...
日志提权 /var/log/auth.log
m0_57221101的博客
03-27 3527
首先介绍一下这个日志,这个是ssh的登陆日志,会记录下ssh登录,sudo,su等命令的相关信息,这里需要重点提及的是,会记录下ssh登录时的用户名。 这个文件的权限一般是310所以不会被除root用户外的其他用户直接写入,一般也不能被除root组外的其他用户读取,但是一旦可以被读取,就可以在这上面下文章了 . ## 利用方法 之前说过auth日志会保存尝试ssh登录的用户名而不去校验这个用户名是否合法或在本地存在 那么我们就可以在用户名处注入可以被执行的脚本然后尝试访问他就可以实现RCE命令执
麒麟(Kylin V10 SP1)系统auth.log日志重复保存,文件过大问题处理
niuwj666的博客
08-25 1819
9. 重启systemd-journald.service服务,并使用tail -f /var/log/auth.log命令进行实时监控,发现输出的信息不再包含审计日志信息。5. 在Kylin V10 SP1中,发现多了一个systemd-journald-audit.socket文件。3. 使用tail -f /var/log/auth.log命令进行实时监控,发现输出的信息主要是审计日志信息。6. 系统启7动了systemd-journald.service服务后,会记录audit日志
authviz:auth.log的可视化工具
05-18
`auth.log`是Linux系统中一个重要的日志文件,它详细记录了用户认证的相关信息。然而,原始的日志文件往往包含大量文本数据,直接阅读和分析可能会相当困难。这就是`authviz`工具的用武之地。`authviz`是一个专门...
ssh-fail-map:使用高图创建的世界地图,其中显示了前一天失败的SSH登录失败的来源(来自auth.log.1的数据)
05-18
`auth.log.1`是Linux系统中默认的日志文件之一,记录了系统上的认证事件,包括SSH登录尝试。 首先,我们需要理解`auth.log.1`日志文件的结构。这个文件通常位于`/var/log/auth.log`或`/var/log/auth.log.1`路径下,...
请将ssh/var/log/auth.log日志格式输出
05-31
/var/log/auth.log 是Linux系统中记录用户登录验证信息的日志文件,其格式如下: ``` Month Day Time hostname sshd[pid]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= ...
利用/var/log/auth.log
06-12
除了使用inotify监控/etc/passwd文件外,也可以利用/var/log/auth.log日志文件来实时获取新增用户。auth.log文件记录了系统的用户认证和授权信息,包括用户登录、密码修改、sudo使用等等。 具体实现步骤如下: 1. ...
为什么grep var/log/auth.log
06-12
`grep`命令用于在文件中搜索指定的字符串或模式,而`/var/log/auth.log`是Linux系统中存储系统认证日志的文件之一。这个文件包含了用户登录、密码验证、用户授权等方面的信息,是系统管理员进行安全性分析和故障排除...
入侵报告工具,以auth.log作为文件
weixin_34195546的博客
04-11 1257
2019独角兽企业重金招聘Python工程师标准>>> ...
ubuntu /var/log/下文件介绍
chuanzhilong的博客
09-04 763
本文简单介绍ubuntu /var/log/下各个日志文件,方便出现错误的时候查询相应的log   /var/log/alternatives.log -更新替代信息都记录在这个文件中 /var/log/apport.log -应用程序崩溃记录 /var/log/apt/   -用apt-get安装卸载软件的信息 /var/log/auth.log   -
Linux入侵痕迹清理
小晓晓晓林的博客
02-20 6840
Linux入侵痕迹清理 环境:Centos7、Kali虚拟机等 清除登陆系统成功的记录 [root@localhost root]# echo > /var/log/wtmp//此文件默认打开时乱码,可查到ip等信息 [root@localhost root]#last//此时即查不到用户登录信息 清除之前能看到之前其他机器的登录信息 清除登陆系...
Linux友人帐之日志与备份
qq_62377885的博客
10-25 662
要创建自定义日志管理服务,可以按照以下步骤进行操作:1. 安装并配置 rsyslogRsyslog 是 Linux 上常用的日志服务,它可以帮助你将不同来源的日志消息发送到不同的输出目标。
/var/log目录下的20个Linux日志文件功能详解
weixin_34413065的博客
02-16 717
如果愿意在Linux环境方面花费些时间,首先就应该知道日志文件的所在位置以及它们包含的内容。在系统运行正常的情况下学习了解这些不同的日志文件有助于你在遇到紧急情况时从容找出问题并加以解决。 以下介绍的是20个位于/var/log/ 目录之下的日志文件。其中一些只有特定版本采用,如dpkg.log只能在基于Debian的系统中看到。 /var/log/me...
linux系统日志路径及日志内容说明
Echo的博客
06-07 4901
这些日志文件默认情况下都只能被root用户或管理员查看。使用cat、tail、less等命令可以查看日志内容。也可以使用logrotate来管理和清理日志
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值