玄机-第一章 应急响应-Linux日志分析

原创 已于 2024-07-20 20:33:06 修改 · 1.1k 阅读 · 32 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #服务器 #网络安全

于 2024-07-15 23:58:15 首次发布

文章目录

前言

又花了一块rmb玩玄机。。。啥时候才能5金币拿下一个应急靶机,只能说功底还没到家,唯有继续加油了。。。

简介

账号root密码linuxrz
ssh root@IP
1.有多少IP在爆破主机ssh的root帐号,如果有多个使用",“分割
2.ssh爆破成功登陆的IP是多少,如果有多个使用”,“分割
3.爆破用户名字典是什么?如果有多个使用”,"分割
4.登陆成功的IP共爆破了多少次
5.黑客登陆主机后新建了一个后门用户,用户名是多少

应急开始

准备工作

下面我遇到比较多的且比较重要的都加深颜色了,其实都很重要,只是作者还没碰到过。

日志文件 说明
/var/log/cron 记录了系统定时任务相关的日志
/var/log/cups 记录打印信息的日志
/var/log/dmesg 记录了系统在开机时内核自检的信息,也可以使用dmesg命令直接查看内核自检信息
/var/log/mailog 记录邮件信息
/var/log/message 记录系统重要信息的日志。这个日志文件中会记录Linux系统的绝大多数重要信息,如果系统出现问题时,首先要检查的就应该是这个日志文件
/var/log/btmp 记录错误登录日志,这个文件是二进制文件,不能直接vi查看,而要使用lastb命令查看
/var/log/lastlog 记录系统中所有用户最后一次登录时间的日志,这个文件是二进制文件,不能直接vi,而要使用lastlog命令查看
最低0.47元/天 解锁文章
玄机第一章 应急响应-Linux日志分析
weixin_46148739的博客
08-12 708
关注momo安全公众号,私信免费获取玄机邀请码!!!
玄机第一章 应急响应-Linux日志分析
qq_46343633的博客
06-04 2047
1.有多少IP在爆破主机ssh的root帐号,如果有多个使用",“分割2.ssh爆破成功登陆的IP是多少,如果有多个使用”,“分割3.爆破用户名字典是什么?如果有多个使用”,"分割4.登陆成功的IP共爆破了多少次5.黑客登陆主机后新建了一个后门用户,用户名是多少这次靶场是用来确定攻击者的相关信息,以便于后期的溯源和编写应急响应报告。
第一章 应急响应-Linux日志分析
qq_63928796的博客
07-16 538
比较重要的几个日志: 登录失败记录:/var/log/btmp //lastb 最后一次登录:/var/log/lastlog //lastlog 登录成功记录: /var/log/wtmp //last 登录日志记录:/var/log/secure。目前登录用户信息:/var/run/utmp //w、who、users。查看日志配置情况:more /etc/rsyslog.conf。日志默认存放位置:/var/log/创建新用户就会出现new user。登录成功一般就出现root字符。
玄机靶场 - 第一章 应急响应-Linux日志分析
fishfishfishman的博客
08-08 1112
通过手动拼接获取到了爆破的用户名,构成flag提交发现不对,然后还试了是不是对爆破的IP也有要求,又分别构造了几条试了也都不对。最后看了下别人的题解,要求是要统计重复次数并且按照重复次数进行降序排序,我的评价是多此一举,这个答案设计的有点死板。,并且是登陆后随后进行的操作,说明是用的黑客登录成功的Session进行的新增后门用户操作,登录环境没变。,并且是在之前的Session退出后操作的,应该是靶场搭建人员做的维护。后面发现不对,看了下别人的题解说是要获取“登录成功的IP共爆破了。爆破用户名字典是什么?
玄机----第一章 应急响应-Linux日志分析
a666666688的博客
09-26 1368
auth.log.1 文件,是因为系统的一个日志轮换机制,当日志文件达到一定大小或满足特定的时间条件时,auth.log 文件会轮转,旧的文件会被重命名为auth.log.1。linux登录相关的日志存储在**/var/log路径下的secure或auth.log**中。1.有多少IP在爆破主机ssh的root账号,如果有多个使用","分割。1.有多少IP在爆破主机ssh的root账号,如果有多个使用","分割。2.ssh爆破成功登陆的IP是多少,如果有多个使用","分割。如果有多个使用","分割。
应急响应靶场》》第一章 应急响应-Linux日志分析
guowu666的博客
09-15 425
在 var/log 找到目录 auth.log.1 为日志文件。
玄机-第一章 应急响应-Linux日志分析的测试报告
ccc_9wy的博客
01-09 2042
对靶机进行应急响应排查;玄机-应急响应靶场复盘;write up;Linux日志分析;auth.log;黑客入侵;awk;perl;grep。
应急响应-Linux 日志分析
cavathon的博客
03-24 2275
Linux 系统中的日志一般在/var/log使用查看任务计划相关操作使用查看验证和授权信息。
应急响应玄机_Linux后门应急
shao65308的专栏
11-20 1942
10、黑客3s很执着清理痕迹,并做了一个持续删痕迹的手段,请发现手段并给出删除的完整黑客删除命令的md5,如flag{md5(rm -f /var/log/ssh.log >/dev/stdout)}下载/home/user/Noral.so,IDA打开反编译。cat /etc/passwd,发现后门用户。
应急响应-Linux-日志分析
qq_50765147的博客
01-27 1502
Linux系统中的日志一般存放在目录"/var/log"下,具体的日志功能如下。/var/log/wtmp:记录登录进入、退出、数据交换、关机和重启,即last。/var/log/cron:记录与定时任务相关的日志信息。/var/log/messages:记录系统启动后的信息和错误日志。/var/log/apach2/access.log:记录apache的访问日志。/var/log/auth.log:记录系统授权日志,包括用户登录和使用的权限机制等。
玄机-----应急响应-Linux日志分析详解
qq_74483249的博客
06-25 1365
这段Perl代码读取从`grep`传递过来的每一行(`$_=`),并尝试匹配正则表达式`/for(.*?- 使用 `grep` 命令搜索 `/var/log/auth.log.1` 文件中包含 "Failed password for root" 的行。- 使用`grep`命令从`/var/log/auth.log.1`文件中搜索包含“Failed password”的行。- `-c` 选项在输出行前加上该行在输入中出现的次数。- `-c`选项使`uniq`在输出每个唯一项时前面加上它出现的次数。
蓝队应急响应-Linux日志分析及常用命令总结
网络安全
07-12 1597
玄机靶场地址:https://xj.edisec.net/第一章应急响应-Linux日志分析1.有多少IP在爆破主机ssh的root帐号,如果有多个使用","分割2.ssh爆破成功登陆的IP是多少,如果有多个使用","分割 3.爆破用户名字典是什么?如果有多个使用","分割 4.登陆成功的IP共爆破了多少次 5.黑客登陆主机后新建了一个后门用户,用户名是多少在Linux系统下,日志默认存...
Linux后门应急(超详细)
最新发布
yulin0305的博客
05-26 504
backdoor:x:0:0:root:/root:/bin/bash“这个用户名为“backdoor”,UID和GID都是0,和root用户一样,家目录是`/root`,shell是`/bin/bash`因为普通用户不应该有UID 0,并且家目录也不应该在`/root`下。5.給出使用了/bin/bash 的RCE後門進程名稱+端口號,如進程名稱為ssh鬥,端口號為22,則flag{sshd22}通过 -v /:/mnt,容器内可直接修改宿主机文件(如/etc/passwd、/root/.ssh等)。
玄机-应急平台】第九章-blueteam 的小心思3
Aluxian_的博客
07-19 1978
流量分析学习专栏学习![X] BiliBili:鱼影安全[X] 公众号:鱼影安全[X] 优快云:落寞的魚丶[X] 知识星球:中职-高职-CTF竞赛[X] 信息安全评估(高职)、中职网络安全、金砖比赛、世界技能大赛省选拔选拔赛竞赛培训等欢迎师傅们交流学习~应急响应工程师小 c 被通知服务器有对外链接请求的痕迹,并且提供给了小 c 一段 waf 上截获的数据包,请你分析对应的虚拟机环境跟数据包,找到关键字符串并且尝试修复漏洞。
玄机-Wordpress-应急响应-WP_玄机应急响应,2024年最新难道网络安全真的凉了
2401_83974173的博客
04-14 1333
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。攻击者进行目录扫描时,一定会进行有大量的请求,该请求的特点是发包间隔短,会有大量的 404 回包,有相同的 UA,我们从以上几点去筛选日志,很容易得出答案。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。最后就是大家最关心的网络安全面试题板块。
玄机-linux实战-挖矿
m0_50572593的博客
06-14 969
应急响应工程师在内网服务器发现有台主机 cpu 占用过高,猜测可能是中了挖矿病毒,请溯源分析,提交对应的报告给应急小组 虚拟机账号密码 root websecyjxy web 端口为 8081 1、黑客的IP是? flag格式:flag{黑客的ip地址},如:flag{127.0.0.1} 2、黑客攻陷网站的具体时间是? flag格式:flag{年--日 时:分:秒},如:flag{2023-12-24 22:23:24} 3、黑客上传webshell的名称及密码是? flag格式:flag{黑客上传的w
玄机linux应急第一章
01-23
### Linux应急处理 第一章 内容 #### 1. 环境介绍 在进行Linux应急响应时,首先要确认当前系统的环境。对于Debian系统而言,可以通过命令`lsb_release -a`来查看发行版的具体信息[^1]。 ```bash root@ip-10-0-10-2:~# lsb_release -a No LSB modules are available. Distributor ID: Debian Description: Debian GNU/Linux 10 (buster) Release: 10 Codename: buster ``` #### 2. 日志分析基础 日志文件是应急响应中的重要资源之一,在Linux系统中尤其如此。除了常见的syslog外,还存在专门用于记录认证事件的日志文件——`/var/log/auth.log`。此文件不仅限于保存用户的登录尝试情况,还包括了更多类型的账户活动详情[^2]。 为了防止因二进制数据导致的错误输出,在使用工具如`grep`读取这些特殊格式的日志条目时应加上选项`-a`以确保正常解析文本内容: ```bash cat /var/log/auth.log | grep -a "关键词" ``` #### 3. 安全审计案例研究 针对特定场景下的安全审查工作,比如检测是否存在暴力破解攻击行为,则可以利用shell脚本组合多个命令实现自动化统计功能。例如计算某个时间段内成功登陆次数最多的IP地址及其对应的访问频率: ```bash cat /var/log/auth.log* | grep -a "Accepted" | awk '{print $11}' | sort -nr | uniq -c ``` 上述指令将会筛选出所有成功的SSH连接请求,并按照远程主机名或公网IPv4地址分组计数显示出来[^4]。 #### 4. 实战练习提示 当面对实际问题时,可能会遇到各种意外状况,像之前提到过的由于未正确设置参数而引起的程序异常终止等问题都属于常见挑战的一部分。因此建议读者多加实践并熟悉常用调试技巧,以便能够在真实环境中快速定位并解决问题。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

竹等寒

谢过道友支持,在下就却之不恭了

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值