Linux 安全日记分析及方法

Linux日记分析

0x00 媒介

Linux系统拥有非常灵活和强大的日记功能，可以保存险些所有的操作记录，并可以从中检索出我们必要的信息。 本文简介一下Linux系统日记及日记分析本事。
0x01 日记简介

日记默认存放位置：/var/log/
查看日记配置情况：more /etc/rsyslog.conf
日记文件说明/var/log/cron记录了系统定时任务相干的日记/var/log/cups记录打印信息的日记/var/log/dmesg记录了系统在开机时内核自检的信息，也可以使用dmesg下令直接查看内核自检信息/var/log/mailog记录邮件信息/var/log/message记录系统重要信息的日记。这个日记文件中会记录Linux系统的绝大多数重要信息，如果系统出现问题时，起首要检查的就应该是这个日记文件/var/log/btmp记录错误登录日记，这个文件是二进制文件，不能直接vi查看，而要使用lastb下令查看/var/log/lastlog记录系统中所有用户最后一次登录时间的日记，这个文件是二进制文件，不能直接vi，而要使用lastlog下令查看/var/log/wtmp永久记录所有用户的登录、注销信息，同时记录系统的启动、重启、关机事件。同样这个文件也是一个二进制文件，不能直接vi，而必要使用last下令来查看/var/log/utmp记录当前已经登录的用户信息，这个文件会随着用户的登录和注销不断变革，只记录当前登录用户的信息。同样这个文件不能直接vi，而要使用w,who,users等下令来查询/var/log/secure记录验证和授权方面的信息，只要涉及账号和暗码的程序都会记录，好比SSH登录，su切换用户，sudo授权，乃至添加用户和修改用户暗码都会记录在这个日记文件中 比较重要的几个日记：
登录失败记录：/var/log/btmp //lastb
最后一次登录：/var/log/lastlog //lastlog
登录成功记录: /var/log/wtmp //last
登录日记记录：/var/log/secure
​ 目前登录用户信息：/var/run/utmp //w、who、users
​ 历史下令记录：history
​ 仅清理当前用户： history -c
0x02 日记分析本事

A、常用的shell下令

Linux下常用的shell下令如：find、grep 、egrep、awk、sed
小本事：
1、grep表现前后几行信息:

2. ​        标准unix/linux下的grep通过下面參数控制上下文：
3. ​        grep -C 5 foo file 显示file文件里匹配foo字串那行以及上下5行
4. ​        grep -B 5 foo file 显示foo及前5行
5. ​        grep -A 5 foo file 显示foo及后5行
6. ​        查看grep版本号的方法是
7. ​        grep -V

复制代码

2、grep 查找含有某字符串的所有文件

1.         grep -rn "hello,world!"
2.         * : 表示当前目录所有文件，也可以是某个文件名
3.         -r 是递归查找
4.         -n 是显示行号
5.         -R 查找所有文件包含子目录
6.         -i 忽略大小写

复制代码

3、如何表现一个文件的某几行：

1.         cat input_file | tail -n +1000 | head -n 2000
2.         #从第1000行开始，显示2000行。即显示1000~2999行

复制代码

4、find /etc -name init

1. //在目录/etc中查找文件init

复制代码

5、只是表现/etc/passwd的账户

1. `cat /etc/passwd |awk  -F ':'  '{print $1}'`  
2. //awk -F指定域分隔符为':'，将记录按指定的域分隔符划分域，填充域，​$0则表示所有域,$1表示第一个域,​$n表示第n个域。

复制代码

6、sed -i ‘153,$d’ .bash_history

1. 删除历史操作记录，只保留前153行

复制代码

B、日记分析本事

A、/var/log/secure

1. 1、定位有多少IP在爆破主机的root帐号：   
2. grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
4. 定位有哪些IP在爆破：
5. grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c
7. 爆破用户名字典是什么？
8. grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr
10. 2、登录成功的IP有哪些：        
11. grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
13. 登录成功的日期、用户名、IP：
14. grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'
16. 3、增加一个用户kali日志：
17. Jul 10 00:12:15 localhost useradd[2382]: new group: name=kali, GID=1001
18. Jul 10 00:12:15 localhost useradd[2382]: new user: name=kali, UID=1001, GID=1001, home=/home/kali
19. , shell=/bin/bash
20. Jul 10 00:12:58 localhost passwd: pam_unix(passwd:chauthtok): password changed for kali
21. #grep "useradd" /var/log/secure
23. 4、删除用户kali日志：
24. Jul 10 00:14:17 localhost userdel[2393]: delete user 'kali'
25. Jul 10 00:14:17 localhost userdel[2393]: removed group 'kali' owned by 'kali'
26. Jul 10 00:14:17 localhost userdel[2393]: removed shadow group 'kali' owned by 'kali'
27. # grep "userdel" /var/log/secure
29. 5、su切换用户：
30. Jul 10 00:38:13 localhost su: pam_unix(su-l:session): session opened for user good by root(uid=0)
32. sudo授权执行:
33. sudo -l
34. Jul 10 00:43:09 localhost sudo:    good : TTY=pts/4 ; PWD=/home/good ; USER=root ; COMMAND=/sbin/shutdown -r now

复制代码

2、/var/log/yum.log
软件安装升级卸载日记：

1. yum install gcc
3. [root@bogon ~]# more /var/log/yum.log
5. Jul 10 00:18:23 Updated: cpp-4.8.5-28.el7_5.1.x86_64
6. Jul 10 00:18:24 Updated: libgcc-4.8.5-28.el7_5.1.x86_64
7. Jul 10 00:18:24 Updated: libgomp-4.8.5-28.el7_5.1.x86_64
8. Jul 10 00:18:28 Updated: gcc-4.8.5-28.el7_5.1.x86_64
9. Jul 10 00:18:28 Updated: libgcc-4.8.5-28.el7_5.1.i686

复制代码

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。