Linux系统拥有非常灵活和强大的日记功能,可以生存险些所有的操作记载,并可以从中检索出我们须要的信息。 本文简介一下Linux系统日记及日记分析本事。
一、 日记简介
日记默认存放位置:/var/log/
查看日记配置情况:more /etc/rsyslog.conf
Linux服务器遭受黑客攻击时的日记分析排除
比力重要的几个日记:
登录失败记载:/var/log/btmp //lastb
最后一次登录:/var/log/lastlog //lastlog
登录乐成记载: /var/log/wtmp //last
登录日记记载:/var/log/secure
如今登任命户信息:/var/run/utmp //w、who、users
历史下令记载:history
仅清算当前用户: history -c
二、日记分析本事
A、常用的shell下令
Linux下常用的shell下令如:find、grep 、egrep、awk、sed
小本事:
1、grep表现前后几行信息:
• 尺度unix/linux下的grep通过下面參数控制上下文:
• grep -C 5 foo file 表现file文件里匹配foo字串那行以及上下5行
• grep -B 5 foo file 表现foo及前5行
• grep -A 5 foo file 表现foo及后5行
• 查看grep版本号的方法是
• grep -V
2、grep 查找含有某字符串的所有文件
grep -rn “hello,world!”
- : 表现当前目次所有文件,也可以是某个文件名
-r 是递归查找
-n 是表现行号
-R 查找所有文件包罗子目次
-i 忽略巨细写
3、如何表现一个文件的某几行:
cat input_file | tail -n +1000 | head -n 2000
#从第1000行开始,表现2000行。即表现1000~2999行
4、find /etc -name init
//在目次/etc中查找文件init
5、只是表现/etc/passwd的账户
cat /etc/passwd |awk -F ':' '{print $1}'
//awk -F指定域分隔符为’:',将记载按指定的域分隔符划分域,填充域,•$0则表现所有域, 1 表现第一个域 , • 1表现第一个域,• 1表现第一个域,•n表现第n个域。
6、sed -i ‘153,$d’ .bash_history
删除历史操作记载,只保留前153行
B、日记分析本事
A、/var/log/secure
1、定位有多少IP在爆破主机的root帐号:
grep “Failed password for root” /var/log/secure | awk ‘{print KaTeX parse error: Expected 'EOF', got '}' at position 3: 11}̲' | sort | uniq…_=<>){ /for(.*?) from/; print “$1\n”;}’|uniq -c|sort -nr
2、登录乐成的IP有哪些:
grep "Accepted " /var/log/secure | awk ‘{print $11}’ | sort | uniq -c | sort -nr | more
登录乐成的日期、用户名、IP:
grep "Accepted " /var/log/secure | awk ‘{print $1,$2,$3,$9,$11}’
3、增加一个用户kali日记:
Jul 10 00:12:15 localhost useradd[2382]: new group: name=kali, GID=1001
Jul 10 00:12:15 localhost useradd[2382]: new user: name=kali, UID=1001, GID=1001, home=/home/kali
, shell=/bin/bash
Jul 10 00:12:58 localhost passwd: pam_unix(passwd:chauthtok): password changed for kali
#grep “useradd” /var/log/secure
4、删除用户kali日记:
Jul 10 00:14:17 localhost userdel[2393]: delete user ‘kali’
Jul 10 00:14:17 localhost userdel[2393]: removed group ‘kali’ owned by ‘kali’
Jul 10 00:14:17 localhost userdel[2393]: removed shadow group ‘kali’ owned by ‘kali’
grep “userdel” /var/log/secure
5、su切换用户:
Jul 10 00:38:13 localhost su: pam_unix(su-l:session): session opened for user good by root(uid=0)
sudo授权实行:
sudo -l
Jul 10 00:43:09 localhost sudo: good : TTY=pts/4 ; PWD=/home/good ; USER=root ; COMMAND=/sbin/shutdown -r now
2、/var/log/yum.log
软件安装升级卸载日记:
yum install gcc
[root@bogon ~]# more /var/log/yum.log
Jul 10 00:18:23 Updated: cpp-4.8.5-28.el7_5.1.x86_64
Jul 10 00:18:24 Updated: libgcc-4.8.5-28.el7_5.1.x86_64
Jul 10 00:18:24 Updated: libgomp-4.8.5-28.el7_5.1.x86_64
Jul 10 00:18:28 Updated: gcc-4.8.5-28.el7_5.1.x86_64
Jul 10 00:18:28 Updated: libgcc-4.8.5-28.el7_5.1.i686
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
