玄机 第一章 应急响应-Linux日志分析
- 有多少IP在爆破主机ssh的root帐号,如果有多个使用","分割 小到大排序 例如flag{192.168.200.1,192.168.200.2}
一般ip存放位置在/var/log
一般大部分情况都在auth.log和auth.log.1下,查过auth.log里面并没有什么
我们可以使用cat auth.log.1查看,但里面的日志太多还是使用命令
cat /var/log/auth.log.1 | awk -F " " '{print $11}' auth.log.1 | sort | uniq -c
2.ssh爆破成功登陆的IP是多少,如果有多个使用","分割
在我们爆破成功时应该会有成功的单词,简单查询一下
cat /var/log/auth.log.1 | grep -a “Acc”
3.爆破用户名字典是什么?如果有多个使用","分割
cat /var/log/auth.log.1 | grep -a "Failed password" | awk -F 'for | from' '{print $2}' | sort | uniq -c | sort -nr
4.成功登录 root 用户的 ip 一共爆破了多少次
cat auth.log.1 | grep -a "Failed password for root" | awk '{print $11}' | sort | uniq -c | sort -nr | more
5.黑客登陆主机后新建了一个后门用户,用户名是多少
在auth.log或者auth.log.1查找一下新建的用户就知道
cat /var.auth.log.1 | grep -a “new user”
