3月21日刷题日记-第一章 应急响应-Linux日志分析

来做一下玄机上的应急响应题目

1.有多少IP在爆破主机ssh的root帐号，如果有多个使用","分割

我们下载auth.log.1，进行日志分析查看有多少IP在爆破

cat auth.log.1 | grep -a "Failed password for root" | awk '{print $11}' | sort | uniq -c | sort -nr | more

flag{192.168.200.2,192.168.200.31,192.168.200.32}

2.ssh爆破成功登陆的IP是多少，如果有多个使用","分割

可以使用last指令来看有哪些IP登录成功，在和爆破的IP进行对比即可知道哪个IP爆破成功

flag{192.168.200.2}
3.爆破用户名字典是什么？如果有多个使用","分割

cat auth.log.1 | grep -a "Failed password" |perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr

4.登陆成功的IP共爆破了多少次
在第一次项中我们发现一共爆破了四次，所以是flag{4}
5.黑客登陆主机后新建了一个后门用户，用户名是多少
cat auth.log.1 |grep -a "new user"