系统日志排查:Linux应急响应与溯源技术

最新推荐文章于 2024-07-25 18:03:05 发布
最新推荐文章于 2024-07-25 18:03:05 发布
阅读量575 收藏 5
点赞数 10
分类专栏: 网络安全 文章标签: linux 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43822401/article/details/139734232
版权

在网络安全领域,系统日志是追踪和分析安全事件的重要资源。它们记录了系统活动和用户行为的详细信息,为应急响应和事后溯源提供了关键线索。本文将介绍如何在Linux系统中进行有效的日志排查。

1. 查看当前登录用户

w 命令是查看当前登录用户的实用工具。它显示了每个用户的活动,包括他们正在运行的进程和系统负载情况。例如:

w

2. 查看用户登录历史

lastloglast 命令分别用于查看用户的最后登录时间和详细的登录历史记录。使用 grep 可以过滤出实际登录过的用户:

lastlog | grep -v "Never logged in"

3. 分析登录尝试

lastb 命令显示了登录成功和失败的记录。结合 awk 可以提取出失败登录尝试的IP地址,并进行统计分析:

lastb -a | awk '{print $NF}' | sort | uniq -c | sort -nr

4. SSH登录日志分析

SSH服务的登录尝试通常记录在/var/log/secure文件中。通过 grep 可以筛选出失败的登录尝试:

grep 'Failed password' /var/log/secure*

5. 查看系统历史命令

用户的命令历史通常存储在~/.bash_history文件中。管理员可以检查可疑用户的命令历史,寻找潜在的恶意活动迹象:

history

6. 系统日志文件说明

Linux系统中的日志文件分散在不同的目录,例如:

  • /var/log/messages:包含系统信息。
  • /var/log/auth.log:包含授权信息。
  • /var/log/secure:记录应用输入的账号密码。

7. 计划任务日志

计划任务(cron job)的执行记录可以在/var/log/cron中找到。管理员可以检查是否有可疑的计划任务被添加:

cat /var/log/cron*

8. 系统用户检查

检查/etc/passwd/etc/shadow文件,确认系统中的用户账号和密码策略:

cat /etc/passwd
cat /etc/shadow

9. 中间件日志分析

Web服务器的访问日志(如Apache的access_log)可以提供关于Web攻击的信息。通过分析这些日志,可以发现潜在的安全威胁:

cat /var/log/httpd/access_log

10. 文件修改时间检查

使用find命令可以查找在特定时间内被修改过的文件,这有助于识别黑客可能修改或添加的文件:

find / -name "*.php" -mtime 0

11. 网络连接检查

netstat命令可以显示当前的网络连接,帮助识别可疑的连接:

netstat -anutp

12. 使用systemd-journald分析日志

systemd-journald是Linux系统中用于收集和存储日志的服务。使用journalctl可以查询和管理这些日志:

journalctl -u sshd

13. 清理系统日志后的应急响应

如果日志文件被清空,可以通过journalctl查询内存中的日志,因为systemd-journald可能仍保留了日志的副本:

journalctl --until "2021-11-05 17:47:00"

结论

系统日志排查是Linux应急响应中的关键步骤。通过上述工具和命令,安全管理员可以有效地追踪和分析潜在的安全事件,采取相应的措施来保护系统安全。记住,日志排查需要细致和耐心,每个细节都可能是解决问题的关键。

小宇python
关注
  • 10
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络安全】Linux 应急响应-溯源-系统日志排查知识点
weixin_43822401的博客
05-17 489
编辑或;
Linux 环境计算机取证工具使用
收集盒 Book box
07-05 2158
Got from http://www.ibm.com/developerworks/cn/linux/l-cn-cf/index.html?ca=drs- 计算机取证简介 随着计算机取证越来越成为国内外技术领域关注的焦点,计算机取证以及相关产品也在相关企业中发展迅速。计算机取证是从西方传来的词汇,最早就是 Computer Forensics 中国大陆地区有的技术专家叫做计算机取证。
Linux 应急响应-溯源-系统日志排查
weixin_44143876的博客
01-24 1918
Linux 应急响应-溯源-系统日志排查
溯源取证-Linux内存取证 中难度篇
weixin_48421613的博客
04-14 2324
此处场景为linux环境下的rootkit病毒,我们通过这篇文章可以通过内存取证发现rootkit病毒相关的知识,我个人觉得还是挺实用的,比较linux的rootkit病毒在不借助工具的前提下是不太好发现的
六款优秀的Linux数字取证工具
奇幻风云
01-20 2821
<br /><br />之前许多文章中谈论了开源软件的优点。开源和闭源软件之间的争论通常集中在自由,可靠性,互操作性、开放标准、支持和哲学理念等因素上。以数字取证工具为例,开源软件在法律方面能体现出新的优势,增加数字取证证据的可接受性,因为开源的特性允许调查人员和法庭确认工具的用途,验证原始驱动器有无修改,或者拷贝有没有被修改。<br />  linuxlinks的这篇文章收集了6款优秀的Linux数字取证工具,它们能处理数据,执行文本、图像和视频的数据分析。这些工具包括:The Sleuth Kit;Au
推荐开源项目:Linux Expl0rer - 简易的Linux取证工具箱
gitblog_00091的博客
05-23 598
推荐开源项目:Linux Expl0rer - 简易的Linux取证工具箱 项目地址:https://gitcode.com/intezer/linux-explorer 在网络安全领域,快速响应和深度调查至关重要,为此我们向您推荐一个强大的Python和Flask编写的开源项目——Linux Expl0rer。这个轻量级的工具箱旨在帮助技术人员轻松进行Linux端点的实时取证工作。 项目介绍 L...
Linux应急响应排查基础.zip
02-11
Linux应急响应排查基础 包含如下7分文档 数据采集.docx history.docx 日志查看命令.docx PS.docx linux应急响应checkList.docx Linux应急响应.docx Linux日志系统.docx
Linux应急响应辅助排查脚本
10-20
Linux应急响应辅助排查脚本 一键运行导出日志 将该脚本下载并移动到Linux任意文件夹,以root权限运行即可导出result.log辅助快速应急响应主机排查。 可使用此脚本用于分析日常服务器差异及被攻击行为。
应急响应Linux入侵排查思路
09-18
应急响应Linux入侵排查思路: 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程...
企业应急响应溯源排查之道.pdf
06-22
4. 应用系统安全漏洞排查:应用系统安全漏洞排查是指对应用系统的安全状态进行检查和评估,检查应用系统是否存在安全漏洞,例如SQL注入、命令执行、文件操作、未授权访问等。 5. 溯源事件缘由:溯源事件缘由是指...
Linux 应急响应流程及实战演练.docx
06-10
Linux应急响应流程及实战演练】是针对企业在遭遇黑客入侵、系统崩溃等安全事件时,如何迅速恢复网络信息系统正常运行的指南。以下是一些关键的知识点: 1. **账号安全**: - `/etc/passwd` 文件存储了所有用户的...
Linux初学基本命令
yuan20010401的博客
07-25 575
1、rm 文件名称 删除多个文件多个目录需要用空格 删除根目录(rm -rf /*)1、touch 文件名字 用于linux创建文件 创建多个目录需要用空格隔开。2、mkdir 目录名称 用于创建文件夹 创建多个嵌套文件夹需要用/隔开。1、cp 当前文件 其他目录名称 拷贝文件夹需要在最后 -r。退出不保存时按Esc+:q!1、ls 查看当前目录下面的文件或者文件夹。2、more 文件名称 查看文件更多内容。1、mv 原文件路径 目标文件路径。退出保存时按Esc + :wq。
Linux】进程间通信 —— 管道与 System V 版本通信方式
最新发布
qq_45666995的博客
07-25 706
一文详尽 管道与 System V 版本的进程间通信方式。
Linux下如何设置系统定时任务
小筱在线博客
07-24 433
需要注意的是,cron工具使用的时间是系统时间,所以请确保系统时间正确设置。其中,分钟表示指定的分钟数(0-59),小时表示指定的小时数(0-23),日表示指定的日期(1-31),月表示指定的月份(1-12),周表示指定的星期(0-7,其中0和7都表示星期天)。cron是一个守护进程,用于在指定的时间间隔执行指定的命令或脚本。这将在每天的凌晨1点到凌晨3点之间每隔30分钟执行指定的命令或脚本。这将在每天的凌晨1点和下午3点执行指定的命令或脚本。这将在每天的凌晨1点执行指定的命令或脚本。
linux】Shell脚本三剑客之awk命令的详细用法攻略
景天科技苑
07-24 4962
Linux和Unix系统中,awk是一种强大的文本处理工具,广泛应用于数据提取、分析和报告生成。它基于模式匹配和条件执行,能够逐行读取输入文本文件,并对每行数据执行指定的操作。本教程将详细介绍`awk`在shell脚本中的用法,包括其基本语法、常用选项、内置变量、高级特性以及结合shell脚本的实际案例。
60个常见的 Linux 指令
yatingliu的博客
07-25 1300
是 “substitute user” 或 “switch user” 的缩写,它可以让你切换到另一个用户账户,包括 root 用户。是 “manual” 的缩写,通过它你可以访问系统的手册页(manual pages),这些手册页提供了详细的使用说明和参考信息。在一些 Linux 发行版中,adduser 是 useradd 的一个友好封装,功能上类似但提供了更多的默认设置和提示。-f, --force:强制删除,不提示错误信息,即使文件不存在也不会报错。:设置密码过期时间,单位为天。
Linux】管道通信和 system V 通信
Front123456的博客
07-24 849
因为它们的第一个字段 ipc_perm 是一样的,所以可以维护一个 struct ipc_perm* 的指针数组,存共享内存、消息队列、信号量它们三者中,第一个元素的地址,也就是 &ipc_perm。这样就可以把共享内存、消息队列和信号量三个部分直接管理起来了。而我们知道结构体的第一个成员的地址和结构体对象的地址在数值上是相同的,并且操作系统在内部可以识别这个对象是共享内存、消息队列和信号量中的哪一个,因此我们拿到这个数组中的 ipc_perm 地址便能访问这结构体的其它成员,将它们管理起来
【C语言】Linux 飞翔的小鸟
Minuhy
07-22 810
Linux下运行的,用C语言编写的飞翔的小鸟,一款挺无聊的小游戏,分享给大家~
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值