应急响应靶场》》第一章 应急响应-Linux日志分析

0x01

在 var/log 找到目录 auth.log.1 为日志文件

 cat /var/log/auth.log.1| grep -a "Failed password for root"  | awk '{print $11}' | sort | uniq -c | sort -nr | more
 

flag{192.168.200.2,192.168.200.31,192.168.200.32}

0x02

grep -a "Accepted " /var/log/auth.log.1 | awk '{print $11}' | sort | uniq -c | sort -nr | more

flag{192.168.200.2}

0x03

爆破用户名字典是什么？如果有多个使用","分割

grep -a "Failed password" /var/log/auth.log.1 |perl -e 'while($_=<>){ /for(.*?) from/;print "$1\n";}'|uniq -c|sort -nr

flag{root,user,hello,test3,test2,test1}

0x04

登陆成功的IP共爆破了多少次

grep -a "Accepted " /var/log/auth.log.1 | awk '{print $11}' | sort | uniq -c | sort -nr | more

计算失败的次数

flag{4}

0x05

黑客登陆主机后新建了一个后门用户，用户名是多少

cat auth.log.1|grep -a "new user"

flag{test2}

---

写在最后有写语句看起来太能很难理解，这里只需要他们的功能即可，当下次遇到是拿出来看即可。