玄机平台应急响应—Linux日志分析

1、前言

啥是日志呢,日志就是字面意思,用来记录你干了啥事情。日志大体可以分为网站日志和系统日志,网站日志呢就是记录哪个用户在哪里什么时候干了啥事,以及其它的与网站相关的事情。系统日志呢,就是记录你的电脑系统或者服务器什么时候干了什么事情,比如系统更新,用户登录等于系统相关的事情。简单来说日志就是把你对这个网站或者系统做的事情都记录下来,既然如此,那么当一个网站被入侵或者服务器被入侵时,我们是不是可以通过分析相关的日志来还原攻击者干了啥。

2、Linux日志

Linux的日志都是存放在/var/log下面滴,查看日志配置情况:more /etc/rsyslog.conf。

然后一般来说主要分析的日志是secure、wtmp、utmp、lastlog、btmp。

3、常用日志分析命令

awk '{print $11}'输出第11个字段的值,sort -nr依照数值的大小排序且以相反的顺序来排序,uniq -c在每行前面加上此行在文件中出现的次数,

复制代码
1、查看多少个IP在爆破主机root账号
cat /var/log/secure  | grep -a "Failed password for root" | awk '{print $11}' | sort | uniq -c | sort -nr | more
2、爆破用户名字典是什么?
cat /var/log/secure | grep -a "Failed password" |perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr
3、登录成功的IP有哪些
grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
4、登录成功的日期、用户名、IP
cat /var/log/secure | grep -a "Accepted " | awk '{print $1,$2,$3,$9,$11}'
5、查看新增用户
cat /var/log/secure |grep -a "new user"

4、玄机平台实战

这里还是借助玄机平台的靶机进行演示,比较简单的一个靶机。

这里看了一圈没发现seure这个日志,然后我逐个日志查看发现auth.log.1这个日志充当了这个角色。

那我们只需围绕着auth.log.1来进行分析即可。

有多少IP在爆破主机ssh的root帐号,如果有多个使用","分割。

flag{192.168.200.2,192.168.200.31,192.168.200.32}

复制代码
 cat /var/log/auth.log.1 | grep -a "Failed password for root" | awk '{print $11}' | sort | uniq -c | sort -nr | more

ssh爆破成功登陆的IP是多少,如果有多个使用","分割。

flag{192.168.200.2}

复制代码
cat /var/log/auth.log.1 | grep -a "Accepted " | awk '{print $11}' | sort | uniq -c | sort -nr | more

爆破用户名字典是什么?如果有多个使用","分割。

flag{user,hello,root,test3,test2,test1}

复制代码
cat /var/log/auth.log.1 | grep -a "Failed password" |perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr

登陆成功的IP共爆破了多少次。

我们先看看那个ip成功登录了,再查看上面第一步的数据即可。

flag{4}

复制代码
cat /var/log/auth.log.1 | grep -a "Accepted " | awk '{print $1,$2,$3,$9,$11}'

黑客登陆主机后新建了一个后门用户,用户名是多少。

flag{test2}

复制代码
cat /var/log/auth.log.1 |grep -a "new user"

5、总结

在现实中的日志往往会更庞大更复杂,肯定不会像靶机一样光敲命令就完事了。更多的是需要具体情况具体分析。

最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。

相关推荐
零零信安12 小时前
AI智能体,攻守失衡的催化剂 | 零零信安
人工智能·网络安全·数据泄露·暗网·零零信安
白帽小阳13 小时前
2026前端面试题!(附答案及解析)
javascript·网络·python·安全·web安全·网络安全·护网行动
白帽小阳15 小时前
[特殊字符]【2026最新】零基础入门学网络安全(详细路线图),看这篇就够了!
学习·安全·web安全·网络安全·安全运营·学习路线·web渗透
HackTwoHub21 小时前
AI大模型攻击思路,涵盖提示词劫持、知识库投毒、多语种混淆 + 身份伪装、诱导 AI 输出涉密后台核心配置
人工智能·安全·web安全·网络安全·自动化·系统安全·安全架构
Eastmount21 小时前
[论文阅读] (51)ESWA25 基于启发式优化器的入侵检测系统
论文阅读·网络安全·sci·入侵检测·eswa
白帽小阳1 天前
Typora插件开发指南:打造专属IDE式写作环境
c语言·网络·python·网络安全·github·pygame·护网行动
Sagittarius_A*1 天前
Web 渗透信息收集实战:站点指纹识别与目录扫描
网络安全·渗透测试·kali
m0_738120722 天前
PHP代码审计基础——超全局变量(三)
开发语言·安全·网络安全·php
其实防守也摸鱼2 天前
运维--怎么看接口的请求和返回
运维·学习·网络安全·网络攻击模型·burpsuite·攻防对抗·蓝队
菩提小狗3 天前
每日安全情报报告 · 2026-07-09
网络安全·漏洞·cve·安全情报·每日安全