蓝队应急响应-Linux日志分析及常用命令总结

最新推荐文章于 2025-07-01 21:12:47 发布
最新推荐文章于 2025-07-01 21:12:47 发布
阅读量1.4k 收藏 32
点赞数 29
CC 4.0 BY-SA版权
文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zjzqxzhj/article/details/140392927

6fe4274ceda41f5900c96dc22f26eafa.gif  

7133bf6542e55390c6162fb3b7dc56b9.gif

玄机靶场地址:https://xj.edisec.net/

第一章 应急响应-Linux日志分析

1.有多少IP在爆破主机ssh的root帐号,如果有多个使用","分割
2.ssh爆破成功登陆的IP是多少,如果有多个使用","分割
3.爆破用户名字典是什么?如果有多个使用","分割
4.登陆成功的IP共爆破了多少次
5.黑客登陆主机后新建了一个后门用户,用户名是多少

在 Linux 系统下,日志默认存放位置目录为:/var/log/

系统日志配置文件:/etc/rsyslog.conf

相关文件关系如下表:

日志文件

文件说明

/var/log/cron

记录了系统定时任务相关的日志。

/var/log/cups

记录打印信息的日志。

/var/log/dmesg

记录了系统在开机时内核自检的信息,也可以使用 dmesg 命令直接查看内核自检信息。

/var/log/maillog

记录邮件信息。

/var/log/message

记录系统重要信息的日志。这个日志文件中会记录 Linux 系统的绝大多数重要信息,如果系统出现问题时,首先要检查的就应该是这个日志文件。

/var/log/btmp

记录错误登录日志,这个文件是二进制文件,不能直接 vim 查看,而要使用 lastb 命令查看。

/var/log/lastlog

记录系统中所有用户最后一次登录时间的日志,这个文件是二进制文件,不能直接 vim ,而要使用 lastlog 命令查看。

/var/log/wtmp

永久记录所有用户的登录、注销信息,同时记录系统的启动、重启、关机事件。同样这个文件也是一个二进制文件,不能直接 vim ,而需要使用 last 命令来查看。

/var/run/utmp

记录当前已经登录的用户信息,这个文件会随着用户的登录和注销不断变化,只记录当前登录用户的信息。同样这个文件不能直接 vim ,而要使用 w  , who , users等命令来查询。

/var/log/secure

记录验证和授权方面的信息,只要涉及账号和密码的程序都会记录,比如 SSH 登录,su 切换用户,sudo 授权,甚至添加用户和修改用户密码都会记录在这个日志文件中。

比较重要的几个日志:

登录失败记录:/var/log/btmp ,对应命令:lastb

最后一次登录:/var/log/lastlog ,对应命令:lastlog

登录成功记录:/var/log/wtmp ,对应命令:last

登录日志记录:/var/log/secure

目前登录用户信息:/var/run/utmp ,对应命令:w 、 who 、 users

历史命令记录:history ,其中仅清理当前用户:history -c

1.有多少IP在爆破主机ssh的root帐号,如果有多个使用","分割

第一题是看有多少IP在爆破,这里我们需要查一下登录日志,可以查/var/log/secure或者auth.log,先进/var/log目录,看一下有auth.log和auth.log.1,查看一下发现auth.log里没有日志,应该是在auth.log.1里。另外,爆破的话在日志里会显示 "Failed password for root" 。所以我们可以搜索 "Failed password for root"  ,然后提取出用户名。这里需要用到grep、awk、sort、uniq等命令,这些命令具体用法后面有总结。

322bfc8fe1d9de2f326eeb5ef3447166.png

da8c472ff2a0404ce725974d05573700.png

最低0.47元/天 解锁文章

200万优质内容无限畅学
蓝队技能-应急响应篇&Web入侵指南&后门查杀&日志分析&流量解密&攻击链梳理&排查口
HACKONE的博客
05-26 458
cmd=whoam,我们在日志中所搜这个漏洞的路径,apache的日志路径logs。成功搜索到了1.14这个IP访问过这个文件,确定攻击者,然后在搜索这个攻击者IP的其他日志确定他的攻击手法和漏洞。访问攻击者访问的页面/default.aspx,发现是登录页面,而攻击者使用的又是sqlmap,且成功注入了。应急人员:在时间和漏洞配合日志没有头绪分析下,就是日志没有东西,也没发现漏洞,可以尝试对后门分析找到攻击行为。我们使用sqlmap检测是否存在SQL注入,发现确实成功了,确定了攻击者的入口。
8、应急响应-战前溯源反制&主机蜜罐系统&HFish&HIDS&Elkeid&Wazuh
m0_65842464的博客
01-31 2014
攻击者对服务器存在着各种威胁行为,作为安全人员,可以在受到攻击前提前部署好蜜罐-Hfish系统或HIDS-Wazuh系统,又或是HlDS-Elkeid系统,诱捕攻击者并进行溯源分析。通过在蜜罐系统中部署诱饵,安全人员可以了解攻击者的行为和攻击手段,为溯源反制提供依据。
第一章 应急响应-Linux日志分析
qq_63928796的博客
07-16 502
比较重要的几个日志: 登录失败记录:/var/log/btmp //lastb 最后一次登录:/var/log/lastlog //lastlog 登录成功记录: /var/log/wtmp //last 登录日志记录:/var/log/secure。目前登录用户信息:/var/run/utmp //w、who、users。查看日志配置情况:more /etc/rsyslog.conf。日志默认存放位置:/var/log/创建新用户就会出现new user。登录成功一般就出现root字符。
【玄机】第一章 应急响应-Linux日志分析
weixin_46148739的博客
08-12 680
关注momo安全公众号,私信免费获取玄机邀请码!!!
玄机——第一章应急响应-Linux日志分析
最新发布
2402_87221233的博客
07-01 888
日志中记录身份验证(登录、身份认证等等)的日志记录一般在里面。而IP尝试爆破主机SSH的root账户,经了解一般的SSH尝试登录的记录在里。然后爆破是有多次失败的尝试,那么就要筛选出登录失败的日志条目,用的命令语句可以进行搜索。找出这些日志条目之后就要提取出进行爆破的IP地址,经过搜索了解,SSH 登录失败日志中IP地址一般在第十一列,那么就可以用命令来进行提取。
应急响应-Linux 日志分析
cavathon的博客
03-24 2197
Linux 系统中的日志一般在/var/log使用查看任务计划相关操作使用查看验证和授权信息。
【玄机】-----应急响应-Linux日志分析详解
qq_74483249的博客
06-25 1264
这段Perl代码读取从`grep`传递过来的每一行(`$_=`),并尝试匹配正则表达式`/for(.*?- 使用 `grep` 命令搜索 `/var/log/auth.log.1` 文件中包含 "Failed password for root" 的行。- 使用`grep`命令从`/var/log/auth.log.1`文件中搜索包含“Failed password”的行。- `-c` 选项在输出行前加上该行在输入中出现的次数。- `-c`选项使`uniq`在输出每个唯一项时前面加上它出现的次数。
工具分享 | Ashro_linux - Linux通用应急响应脚本工具,应急响应必备,护网蓝队必备,运维必备。
IT软件汇
09-17 747
工具分享 | Ashro_linux - Linux通用应急响应脚本工具,应急响应必备,护网蓝队必备,运维必备。
网络安全HW面试考察范围:涵盖网络基础、渗透测试、漏洞分析与应急响应的综合能力评估
04-18
本文档详细列出了HW(红队/蓝队演练)面试的考察范围,涵盖了网络基础、常见端口和协议、常用Windows&Linux命令、渗透测试流程、常见漏洞原理及加固方式、WAF绕过、内网渗透、攻击监测与研判、WebShell流量特征、...
应急响应--日志分析
lza20001103的博客
08-29 1711
应急响应--日志分析
应急响应-日志分析
懂进攻知防守
11-22 1369
日志概述在Windows系统中,日志文件包括:系统日志、安全性日志、应用程序日志:如何查看:右键我的电脑-管理-系统工具-事件查看器,或者eventvwr查看事件查看器打开Windows系统的事件查看器,右键单击系统或安全日志,选择筛选当前日志,在筛选器中输入下列事件ID即可。系统:1074,通过这个事件ID查看计算机的开机、关机、重启的时间以及原因和注释。6005,表示计算机日志服务已启动,如果出现了事件ID为6005,则表示这天正常启动了系统。
应急响应之Web日志分析
明哥哥知识分享
12-14 624
1 、 Web日志 Web访问日志记录了Web服务器接收处理请求及运行时错误等各种原始信息。通过对WEB日志进行的安全分析,不仅可以帮助我们定位攻击者,还可以帮助我们还原攻击路径,找到网站存在的安全漏洞并进行修复。 我们来看一条Apache的访问日志: 127.0.0.1 - - [11/Jun/2018:12:47:22 +0800] "GET /login.html HTTP/1.1" 200 786 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebK
第一章-应急响应-Linux 日志分析-玄机靶场
星河梦瑾的博客
10-30 1824
小计下玄机靶场的应急响应第一章Linux 日志分析挑战思路。
应急响应日志分析工具
剁椒鱼头没剁椒的博客
11-02 1892
在网上当然还是有很多的日志分析,但是多数都是针对流量的日志分析,很少是针对安全的分析,同时现阶段的安全日志分析工具要不是去购买厂商的技术,要不就是单项的分析,例如360星图,很少有开源的综合性分析的。
玄机平台应急响应Linux日志分析
2301_76227305的博客
05-31 1279
在现实中的日志往往会更庞大更复杂,肯定不会像靶机一样光敲命令就完事了。更多的是需要具体情况具体分析。最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
应急响应日志分析专题
weixin_51339377的博客
06-01 896
应急响应日志分析专题
玄机----第一章 应急响应-Linux日志分析
a666666688的博客
09-26 1282
auth.log.1 文件,是因为系统的一个日志轮换机制,当日志文件达到一定大小或满足特定的时间条件时,auth.log 文件会轮转,旧的文件会被重命名为auth.log.1。linux登录相关的日志存储在**/var/log路径下的secure或auth.log**中。1.有多少IP在爆破主机ssh的root账号,如果有多个使用","分割。1.有多少IP在爆破主机ssh的root账号,如果有多个使用","分割。2.ssh爆破成功登陆的IP是多少,如果有多个使用","分割。如果有多个使用","分割。
应急响应基础(四)——Linux日志分析
橘子女侠
11-27 2118
Linux日志分析 Linux系统拥有非常灵活和强大的日志功能,可以保存几乎所有的操作记录,并可以从中检索出我们需要的信息。 大部分Linux发行版默认的日志守护进程为 rsyslog,位于 /etc/rsyslog 或 /etc/rsyslogd,默认配置文件为 /etc/rsyslog.conf,任何希望生成日志的程序都可以向 rsyslog 发送信息。 Linux系统内核和许多程序会...
2020年最新应急响应实战技巧与案例分析
总结而言,"应急响应实战笔记_2020最新版"提供了全面的实战知识和策略,覆盖了从入侵排查、日志分析到操作系统和Web应用的具体攻防技术,还包括了恶意软件分析以及红蓝攻防训练的实践指导,为安全专家和IT从业者提供...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

网络安全研究所

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值