第一章 应急响应-Linux日志分析
简介
1.有多少IP在爆破主机ssh的root帐号,如果有多个使用",“分割
2.ssh爆破成功登陆的IP是多少,如果有多个使用”,“分割
3.爆破用户名字典是什么?如果有多个使用”,"分割
4.登陆成功的IP共爆破了多少次
5.黑客登陆主机后新建了一个后门用户,用户名是多少
这次靶场是用来确定攻击者的相关信息,以便于后期的溯源和编写应急响应报告。
flag 1.有多少IP在爆破主机ssh的root帐号,如果有多个使用","分割
linux默认日志存放在/var/log目录下
比较重要的几个文件:登录错误信息(btmp),登录成功(wtmp),最后一次登录(lastlog),登录日志(secure)
除此之外,auth.log.1 文件是一个非常重要的系统日志文件,包含了许多与安全相关的信息,可以用于监控、分析和排查系统故障和安全问题所以可以通过查看它来确定相关信息。
cat /var/log/auth.log.1 | grep -a "Failed password for root" | awk '{print $11}' | sort | uniq -c | sort -nr | more
cat /var/log/auth.log.1 显示文件内容。
grep -a "Failed password for root" 在文件中搜索所有包含 "Failed password for root" 的行。
awk '{print $11}' 提取每行的第 11 个字段,即 IP 地址。
sort 对提取出来的 IP 地址进行排序。
uniq -c 统计每个 IP 地址出现的次数,并将其前缀显示到每行的开头。
sort -nr 对 IP 地址出现次数进行逆序排序。
more 分屏显示结果,便于查看。
这段命令是用于在 /var/log/auth.log.1 文件中查找所有包含字符串 “Failed password for root” 的行,然后从中提取出IP地址信息,最后进行统计和排序。
最后得出flag{192.168.200.2,192.168.200.31,192.168.200.32}
flag 2.ssh爆破成功登陆的IP是多少,如果有多个使用","分割
cat /var/log/auth.log.1 | grep "Accepted password for root" | awk '{print $11}' | sort | uniq -c | sort -nr | more
该命令将会列出所有包含 “Accepted password for root” 的行,并按照每个 IP 地址出现的次数从高到低进行排序。它可以帮助管理员快速发现和分析与 root 密码验证相关的安全问题。需要注意的是,这个命令只显示密码验证成功的记录,如果要查找所有的登录记录,应该使用类似 “session opened” 的关键字。
flag{192.168.200.2}
flag 3.爆破用户名字典是什么?如果有多个使用","分割
cat /var/log/auth.log.1 | grep -a "Failed password" | perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'| uniq -c | sort -nr
cat /var/log/auth.log.1 显示文件内容。
grep -a "Failed password" 在文件中搜索所有包含 "Failed password" 的行。
perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";} ' 使用 Perl 正则表达式从每行日志中提取出 "for xxx from" 部分的字符串,即远程主机的 IP 地址。
uniq -c 统计每个 IP 地址出现的次数,并将其前缀显示到每行的开头。
sort -nr 对 IP 地址出现次数进行逆序排序。
逐步解释perl命令,perl -e 'while($_=<>){ /for(.?) from/; print “$1\n”;}': 这一部分使用 Perl 脚本。-e 选项表示在命令行中提供脚本代码。Perl 脚本的作用是遍历每一行,然后使用正则表达式 /for(.?) from/ 捕获括号中的内容,即登录失败的用户名。捕获的内容由 $1 引用,然后通过 print “$1\n”; 打印出来,每个用户名占一行。
flag{user,hello,root,test3,test2,test1}
flag 4.登陆成功的IP共爆破了多少次
见falg1
flag{2}
flag 5.黑客登陆主机后新建了一个后门用户,用户名是多少
cat /var/log/auth.log.1 |grep -a "new user"
该命令将会列出所有包含 “new user” 的日志记录,这些记录通常是由系统管理员或其他特权用户创建新用户账户时生成的。通过查看这些日志记录,管理员可以了解到新用户账户的创建时间、用户名、UID 等相关信息,并及时发现任何未经授权的用户账户创建操作
flag{test2}
