第一章,应急响应linux日志分析
第一个应急响应靶场,很简单,主要就是熟悉一下常见命令以及了解一下日志的基本结构
复现步骤:
1.xshell连接靶机
连接成功
2.题目让找出有多少ip在爆破主机ssh的root账户
一般登录的日志会记录在/var/log/auth.log.1(这是固定的)
所以
cd ..
cd /var/log/
ls #确定登录日志的名字
cat auth.log.1 | grep -a "Failed password for root" | awk '{print $11}' | sort | uniq -c | sort -nr | more
回显:
命令分析:
● cat auth.log.1:该命令用于查看 auth.log.1 文件的内容。
● grep -a "Failed password for root":使用 grep 命令搜索包含 "Failed password for root" 的行。-a 选项表示以文本方式处理二进制文件。
● awk '{print $11}':使用 awk 命令提取每行的第 11 个字段。这里假设 Failed password for root 相关的日志中,第 11 个字段包含了一些有用的信息,例如 IP 地址或其他关键信息,具体取决于日志的格式。
● sort:将 awk 输出的结果进行排序,按照默认的字典序排序。
● uniq -c:对排序后的结果进行去重,并计算每个唯一行出现的次数。-c 选项表示输出重复行的计数。
● sort -nr:将 uniq 的结果按照数字降序排序。-n 表示按照数字排序,-r 表示降序。
● more:将排序后的结果分屏显示,方便查看,当输出内容较多时可以使用分页查看。
3.让找到ssh爆破成功登录的ip是多少?
其实这个题直接从上一问中就可以找到答案,就是登录次数最多的 192.168.200.2
cat auth.log.1 | grep -a "Accepted " | awk '{print $11}' | sort | uniq -c | sort -nr | more
之所以使用Accepted,是因为这个词在Linux中通常用来表示成功登录
4.爆破用户名字典是什么?如果有多个使用","分割
得到字典,其实也就是得到hacker爆破所尝试的所有用户名
所以直接列举出失败登录的所有日志信息即可
cat auth.log.1 | grep -a "Failed password" |perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr
● cat auth.log.1:读取 auth.log.1 文件的内容。
● grep -a "Failed password":使用 grep 命令在文件内容中查找包含 "Failed password" 的行,-a 选项确保对二进制文件也以文本形式处理。
● perl -e 'while($=<>){ /for(.*?) from/; print "$1\n";}':使用 perl 脚本处理 grep 过滤后的行,具体解释如下:
● while($=<>){:表示逐行读取输入内容到 $_ 变量。
● /for(.?) from/:使用正则表达式匹配 for 到 from 之间的内容,(.?) 是一个非贪婪匹配,会匹配 for 之后、from 之前的内容。
● print "$1\n";:打印匹配到的内容(存储在 $1 中)并添加一个换行符。
● uniq -c:对 perl 脚本输出的结果进行去重,并统计每个唯一行出现的次数。-c 选项表示输出重复行的计数。
● sort -nr:将 uniq 的结果按数字降序排序。-n 表示按数字排序,-r 表示降序。
5.成功登录 root 用户的 ip 一共爆破了多少次
这个和第一个一样,因为第一个命令就已经列举出了所有登录的ip的登录次数
6.黑客登陆主机后新建了一个后门用户,用户名是多少
说白了这个就是让你找日志中新建的用户有哪些,直接grep筛选即可
cat auth.log.1 |grep -a "new user"
至于为什么是test2,其实这两个用户都有可能是后门用户,所以都尝试一下即可
两个的区别就是
● test2 用户的 shell 是 /bin/sh
● debian 用户的 shell 是 /bin/bash
/bin/bash 是一个功能更强大、更高级的 shell,提供了更多的特性和功能,如命令行编辑、命令历史、补全等;而 /bin/sh 是一个相对简单的 shell,可能更适合一些简单的脚本执行或系统操作,可能是用户创建者根据不同的使用需求为用户分配的不同 shell。
浙公网安备 33010602011771号