auth.log日志查看

最新推荐文章于 2024-04-09 13:22:01 发布
最新推荐文章于 2024-04-09 13:22:01 发布
阅读量5.4k 收藏 3
点赞数 1
文章标签: 运维 awk java
原文链接:https://my.oschina.net/dmdgeeker/blog/108377
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

     新手文章!!!请多指教!      
     以前一直想分析下自己主机的log日志,来看看究竟是哪些人想入侵我的主机(虽然我现在主机是个实验性质的,里面几乎没有什么有价值的东西)。
     我的主机系统为ubuntu server 12.04 64位。虽然我很早就知道auth.log记录了登陆的信息,但由于shell的基本功不好,面对着长长的log不知道如何下手。这些天看了下shell脚本的写法,终于有了点眉目。 

Feb  3 07:44:39 server sshd[28013]: reverse mapping checking getaddrinfo for mail1.tdabbat.ru [88.147.142.29] failed - POSSIBLE BREAK-IN ATTEMPT!
Feb  3 07:44:34 server sshd[28011]: Invalid user recruit from 88.147.142.29
Feb  3 07:44:34 server sshd[28011]: input_userauth_request: invalid user recruit [preauth]
Feb  3 07:44:34 server sshd[28011]: pam_unix(sshd:auth): check pass; user unknown
Feb  3 07:44:34 server sshd[28011]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=88.147.142.29
Feb  3 07:44:36 server sshd[28011]: Failed password for invalid user recruit from 88.147.142.29 port 36392 ssh2
Feb  3 07:44:36 server sshd[28011]: Received disconnect from 88.147.142.29: 11: Bye Bye [preauth]
     上面为auth.log里面一条基本的ssh认证失败记录。这次我想做的就是把里面的IP地址以及用户名提取出来,统计一下次数。
     首先,我使用grep提取出所有带IP地址的行。 
grep -i 'invalid' $1 |\
    grep -v 'Failed' |\
    grep '[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}' |\
     这个表达式首先提取了带invalid且不带Failed的这一行,因为每一次失败的log记录有好几条,而我只需要一条就可以了。类似于下面这行: 
Feb  3 07:44:26 server sshd[28006]: Invalid user staff from 88.147.142.29
      当所有记录提取成这样后,就可以轻松地使用awk来提取想要的字段了。比如我想提取用户名和IP地址,使用awk就是: 
awk '{print $8,$10}'
       如果还想有进一步的操作,只需再在结果上处理即可。下面是我提取最近试图入侵我的主机的统计信息(第一行为次数,第二行为IP): 
8 107.23.144.48
    133 110.75.189.5
      8 114.80.138.6
    156 119.163.120.182
      3 121.101.222.146
    186 121.125.73.22
      2 122.192.35.240
     53 122.225.96.117
      5 123.127.160.102
    649 151.237.189.113
      1 180.186.74.94
     34 183.61.244.190
      2 192.34.62.41
      3 210.48.231.70
      1 211.100.61.26
     11 219.239.113.241
    112 221.132.73.154
    130 58.215.75.198
      4 60.21.206.60
  24418 61.182.202.57
      7 61.236.64.56
      2 61.240.36.1
     36 88.147.142.29
      由上可以看到,IP地址61.182.202.57共进行了24418次尝试。而尝试比较多的用户名如下(第一行为次数,第二行为用户名): 
102 test
    101 oracle
     43 admin
     42 nagios
     29 guest
     21 webmaster
     20 user
     20 mythtv
     17 david
     17 dan
     15 test1
     14 tomcat
     14 recruit
     14 hasegawa
     14 ftpuser
     13 www
      由上可以看出,一些简单的用户名尝试的次数更多,更容易被破解。所以一个好的用户名也是很重要的。
     上面这些数据只是我个人主机在某一段时间所得,没有特别的统计意义哈。另外,希望有热心的朋友指教!3Q

转载于:https://my.oschina.net/dmdgeeker/blog/108377

weixin_34336526
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux_操作系统日志管理全攻略
04-17
日志对于安全来说,非常重要,他记录了系统每天发生的各种各样的事情,你可以通过他来检查错误发生的原因,或者受到攻击时攻击者留下的痕迹。日志主要的功能有:审计和监测。他还可以实时的监测系统状态,监测和追踪侵入者等等。
logsta-services:可视地将tcpdump和auth.log snort日志记录到logtalgia
04-19
Logsta服务 这个Python驱动的脚本将通过TCPDump监视网络连接,并通过auth.log监视Snort日志。 它将秘密日志转换为Apache / Logstalgia接受的格式,并将其保存到单独的日志文件中。 然后,该文件将被重定向到Logstalgia,并同步以可视格式显示日志。 没事吧? 享受! 检查extras目录中的原始文件。 (可能需要修改,并且可能不是最新的) 用法: 1. mv example_config.py to config.py 2. vim config.py, apply your configurations 3. touch snort.log 4. touch connections.log 5. sudo ./logstafeed.py 6. tail -F snort.log -F connections.log | logstalg
loglog-server:Loglog 日志记录 Web 服务器
07-08
日志服务器 从日志源中读取数据并显示在开发工具中 安装: npm install loglog-server 用法: 您需要设置自己的日志服务器以与节点一起执行。 loglog-server模块只是公开了一个 express 应用程序。 var server = require ( 'loglog-server' ) ; var auth = require ( 'http-auth' ) ; // It's necessary to have your datasource set before any requests // are fulfilled server . set ( 'source' , server . sources . mongodb ( { // This configuration should be the same configura
graylog2使用说明(docker)
07-24
## 什么是graylog Graylog 是一个简单易用、功能较全面的日志管理工具,相比 ELK 组合, 优点: - 部署维护简单 - 查询语法简单易懂(对比ES的语法…) - 内置简单的告警 - 可以将搜索结果导出为 json - 提供简单的聚合统计功能 - UI 比较友好 - 当然, 拓展性上比 ELK 差很多。 整套依赖: - Graylog 提供 graylog 对外接口 - Elasticsearch 日志文件的持久化存储和检索 - MongoDB 只是存储一些 Graylog 的配置 ## 安装 > 可以是裸机安装,也可以是docker安装,这里用docker安装 环境要求: - centos7.4 - cpu2个 内存2G 参考: https://hub.docker.com/r/graylog2/graylog/ ### 环境准备 ``` mkdir /root/graylog && cd /root/graylog //挂载目录 mkdir -p mongo_data graylog_journal es_data //配置文件目录 mkdir -p ./graylog/config cd ./graylog/config wget https://raw.githubusercontent.com/Graylog2/graylog-docker/3.0/config/graylog.conf wget https://raw.githubusercontent.com/Graylog2/graylog-docker/3.0/config/log4j2.xml //提前准备镜像 docker pull mongo:3 docker pull graylog/graylog:3.0 docker pull elasticsearch:5.6.9 ``` ### docker-compose.yml ``` version: '2' services: # MongoDB: https://hub.docker.com/_/mongo/ mongo: image: mongo:3 volumes: - ./mongo_data:/data/db - /etc/localtime:/etc/localtime # Elasticsearch: https://www.elastic.co/guide/en/elasticsearch/reference/5.5/docker.html elasticsearch: image: elasticsearch:5.6.9 volumes: - ./es_data:/usr/share/elasticsearch/data - /etc/localtime:/etc/localtime environment: - http.host=0.0.0.0 - transport.host=localhost - network.host=0.0.0.0 # Disable X-Pack security: https://www.elastic.co/guide/en/elasticsearch/reference/5.5/security-settings.html#general-security-settings - xpack.security.enabled=false - "ES_JAVA_OPTS=-Xms512m -Xmx512m" ulimits: memlock: soft: -1 hard: -1 mem_limit: 1g # Graylog: https://hub.docker.com/r/graylog/graylog/ graylog: image: graylog/graylog:3.0 volumes: - ./graylog_journal:/usr/share/graylog/data/journal - ./graylog/config:/usr/share/graylog/data/config - /etc/localtime:/etc/localtime environment: # CHANGE ME! - GRAYLOG_PASSWORD_SECRET=somepassword
yarn-auditlog-parser:Yarn的hdfs-audit.log日志文件解析,从ip,用户名,时间段维度对hdfs的qps量进行统计
05-09
yarn-auditlog-parser Yarn的hdfs-audit.log日志文件解析,从ip,用户名,时间段维度对hdfs的qps量进行统计 原理介绍 此工具用于分析hdfs-audit日志文件中的hdfs请求,比如下面是一条完整的记录 2015-09-09 05:29:54,727 INFO FSNamesystem.audit: allowed=true ugi=data (auth:SIMPLE) ip=/192.128.10.15 cmd=open src=/user/data/.staging/job_1441718170682_2949/job.jar dst=null perm=null proto=rpc 解析程序主要抽取出其中的时间,ugi用户信息,ip地址信息,cmd操作命令信息,然后进行各个维度统计. 下面是几种使用方法 1.用户分时段统计 java -j
ELK stack实战之结合rsyslog分析系统日志(auth.log)
weixin_33801856的博客
10-08 406
打开微信扫一扫,关注微信公众号【数据与算法联盟】 转载请注明出处:http://blog.csdn.net/gamer_gyt 博主微博:http://weibo.com/234654758 Github:https://github.com/thinkgamer 写在前边的话 在之前的文章中我么谈到了EL...
driftingblues3靶机(auth.log日志、命令执行)
m0_66299232的博客
12-19 639
1.回弹shell成功后用python来弹交互式shell,在robertj用户下发现.ssh目录。那么我们就可以在用户名处注入可以被执行的脚本然后尝试访问他就可以实现RCE命令执行。8.把ip给替换成可以执行提权的命令,然后把环境变量改了,就可以成功提权。2.看下敏感目录里的信息,不让访问/eventadmins目录。等几分钟再执行curl命令,发现成功记录了登陆的信息。1.故意登录ssh,造成报错,看能否在日志里看到。7.查看之后,发现特别像auth.log的内容。9.最后进入root目录,成功拿下!
Deepin 系统日志查看
幽灵 逐梦--专栏
09-27 4566
前言 日志文件能够详细记录系统每天发生的各种各样的事件。用户可以通过日志文件检查错误产生的原因,或者在受到攻击和黑客入侵时追踪攻击者的踪迹。 日志对于系统的安全来说非常重要,它记录了系统每天发生的各种各样的事情,用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。日志主要的功能是审计和监测。它还可以实时地监测系统状态,监测和追踪侵入者。 ##基本概念 ###日志作用 日志的两...
日志提权 /var/log/auth.log
m0_57221101的博客
03-27 3321
首先介绍一下这个日志,这个是ssh的登陆日志,会记录下ssh登录,sudo,su等命令的相关信息,这里需要重点提及的是,会记录下ssh登录时的用户名。 这个文件的权限一般是310所以不会被除root用户外的其他用户直接写入,一般也不能被除root组外的其他用户读取,但是一旦可以被读取,就可以在这上面下文章了 . ## 利用方法 之前说过auth日志会保存尝试ssh登录的用户名而不去校验这个用户名是否合法或在本地存在 那么我们就可以在用户名处注入可以被执行的脚本然后尝试访问他就可以实现RCE命令执
入侵报告工具,以auth.log作为文件
weixin_34195546的博客
04-11 1235
2019独角兽企业重金招聘Python工程师标准>>> ...
log-notifier:日志的简单通知程序
06-03
日志通知程序 日志的简单通知程序。 用法 var Notifier = require ( 'log-notifier' ) ; var notifier = null ; if ( mode === 'development' ) { notifier = new Notifier .... "auth_token" : "__auth
linux的所有日志,linux有哪些日志
11-11
linux的所有日志,linux有哪些日志 alternatives.log auth.log boot.log btmp daemon.log ...
nt-casbin:nest.js with casbin auth Nest.js RBAC ABAC 权限管理
05-02
没有资源的ACL :通过使用诸如write-article , read-log类的权限,某些方案可能针对一种资源而不是单个资源。 它不控制对特定文章或日志的访问。 具有资源角色的RBAC :用户和资源都可以同时具有角色(或组)。 ...
详解nginx日志定时备份和删除
01-20
一旦开启了nginx日志功能,每天nginx都会生成一定大小的日志文件,如果系统稳定运行,没有任何问题,那么日志基本上不会去查看。但这些日志如不及时清理,日渐积累,对服务器的磁盘空间占用也将是比较恐怖的。为了...
解析php如何将日志写进syslog
12-19
在做项目的时候们为了方便运维,我们经常需要将系统日志写入系统syslog,下边我们就介绍一下,在linux下php对syslog的操作:在linux中配置syslog在linux中,facility(设备)有以下几种:AUTH 普通安全/授权消息...
Linux入侵痕迹清理
小晓晓晓林的博客
02-20 6771
Linux入侵痕迹清理 环境:Centos7、Kali虚拟机等 清除登陆系统成功的记录 [root@localhost root]# echo > /var/log/wtmp//此文件默认打开时乱码,可查到ip等信息 [root@localhost root]#last//此时即查不到用户登录信息 清除之前能看到之前其他机器的登录信息 清除登陆系...
/var/log/secure日志文件——查看系统用户登陆信息
最新发布
weixin_53389944的博客
04-09 1002
在 Linux 系统中,可以通过查看登录日志文件来获取用户的登录历史信息和登录失败信息。
Linux 日志系统
王兆镇的博客
09-09 2694
常见的日志 日志是一个系统管理员,一个运维人员,甚至是开发人员不可或缺的东西,系统用久了偶尔也会出现一些错误,我们需要日志来给系统排错,在一些网络应用服务不能正常工作的时候,我们需要用日志来做问题定位,日志还是过往时间的记录本,我们可以通过它知道我们是否被不明用户登录过等等。 在 Linux 中大部分的发行版都内置使用 syslog 系统日志,那么通过前期的课程我们了解到常见的日志一般存放在 /var/log 中,我们来看看其中有哪些日志 根据图中所显示的日志,我们可以根据服务对象粗略的将日志分为两类 系
麒麟(Kylin V10 SP1)系统auth.log日志重复保存,文件过大问题处理
niuwj666的博客
09-04 990
【代码】麒麟(Kylin V10 SP1)系统auth.log日志重复保存,文件过大问题处理。
利用/var/log/auth.log
06-12
除了使用inotify监控/etc/passwd文件外,也可以利用/var/log/auth.log日志文件来实时获取新增用户。auth.log文件记录了系统的用户认证和授权信息,包括用户登录、密码修改、sudo使用等等。 具体实现步骤如下: 1. 使用系统函数open()打开/var/log/auth.log日志文件,并使用lseek()将文件指针定位到文件末尾。 2. 使用系统函数read()读取文件内容,并处理新增用户的日志信息。 3. 在处理日志信息时,可以使用正则表达式匹配新增用户的信息,从而得知新增用户的信息。 下面是一个简单的示例代码: ``` #include <stdio.h> #include <stdlib.h> #include <fcntl.h> #include <unistd.h> #include <regex.h> #define BUF_SIZE 1024 int main(int argc, char **argv) { int fd, n; char buf[BUF_SIZE]; off_t off; regex_t reg; regmatch_t match[2]; fd = open("/var/log/auth.log", O_RDONLY); if (fd < 0) { perror("open"); exit(EXIT_FAILURE); } off = lseek(fd, 0, SEEK_END); while (1) { n = read(fd, buf, BUF_SIZE); if (n < 0) { perror("read"); exit(EXIT_FAILURE); } if (n == 0) { usleep(1000000); // wait for new data continue; } if (regcomp(&reg, "useradd: new user: name=([^,]+)", REG_EXTENDED) != 0) { perror("regcomp"); exit(EXIT_FAILURE); } if (regexec(&reg, buf, 2, match, 0) == 0) { char *name = strndup(&buf[match[1].rm_so], match[1].rm_eo - match[1].rm_so); printf("New user added: %s\n", name); free(name); } regfree(&reg); off += n; lseek(fd, off, SEEK_SET); } close(fd); return 0; } ``` 这段代码可以实时监控/var/log/auth.log日志文件的新增用户信息,并输出新增用户的用户名。需要注意的是,我们使用正则表达式匹配日志信息时,需要使用regcomp()函数编译正则表达式,并使用regexec()函数执行正则表达式匹配。同时,为了避免重复输出新增用户信息,我们在每次读取日志文件内容时,将文件指针定位到文件末尾,从而避免重复处理已经处理过的日志信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值