Linux應急響應學習

来源:https://www.cnblogs.com/ZZslBl0g/archive/2022/08/27/16631647.html
-Advertisement-
Play Games

Linux應急響應-系統日誌排查-溯源 溯源 找到攻擊者。系統日誌分析攻擊者的ip 攻擊者可能留下了一些代碼 樣本 網上的信息很大程度上是不可信的。 方法: 蜜罐 高交互的蜜罐 溯源: ip 日誌分析 (通過日誌分析,分析哪個ip攻擊了目標) 目的:分析黑客在伺服器上做了什麼事情? Linux 應急 ...


Linux應急響應-系統日誌排查-溯源

溯源 找到攻擊者。系統日誌分析攻擊者的ip  攻擊者可能留下了一些代碼 樣本

網上的信息很大程度上是不可信的。

方法:

蜜罐  高交互的蜜罐

溯源: ip 日誌分析 (通過日誌分析,分析哪個ip攻擊了目標)

目的:分析黑客在伺服器上做了什麼事情?

Linux 應急響應 安服。

 

實驗環境: 線上環境

w

第二行包括以下信息:

USER - 登錄用戶名

TTY - 登錄用戶使用的終端名稱

FROM - 來自登錄用戶的主機名或者 IP

LOGIN@ - 用戶登錄時間

IDLE - 從用戶上次和終端交互到現在的時間,即空閑時間

JCPU - 依附於 tty 的所有進程的使用時間

PCPU - 用戶當前進程的使用時間。當前進程名稱顯示在 WHAT

WHAT - 用戶當前進程和選項、參數

lastlog命令 用於顯示系統中所有用戶最近一次登錄信息。

通過grep 來進行過濾:

-v 或 --invert-match : 顯示不包含匹配文本的所有行。

lastlog | grep -v "從未登錄" ---對"從未登錄"進行過濾

last -n 5 --只看最新的五次登錄

-d ip 地址轉換為主機名。該參數可以獲取登錄到系統的用戶所使用的的主機名,如果目標使用的

vps 伺服器綁定了功能變數名稱,該參數有可能獲取到目標功能變數名稱。

-a 參數把 ip 列放在最後一行

lastb 查看所有登錄記錄包含失敗。

awk 命令可以幫我們取出我們想要的列,-F 指定分隔符,每列之間使用空格分隔,print 列印

$1 第一列 $NF 列印最後一列 "\t"添加 tab 符分隔,一般是 4 個空格。

sort 會將文本進行排序,預設排序會把一樣的行都排到一起

sort -nr 排序 -nr 倒序 -n 正序

uniq -c 計數

lastb -a |awk -F' ' '{ print $1 "\t" $NF}' |sort |uniq -c |sort -nr

通過在目錄下/secure* 來查看登錄的日誌

通過grep 來將登錄失敗的用戶過濾出來

grep Failed /var/log/secure*

以空格作為分隔符,來將用戶名和ip進行提取(用戶登錄失敗的信息)

grep Failed /var/log/secure* |awk -F' ' '{print $9 "\t" $11}'

常用系統日誌說明

日誌目錄

作用

/var/log/message

包括整體系統信息

/var/log/auth.log

包含系統授權信息,包括用戶登錄和使用的許可權機制等

/var/log/userlog

記錄所有等級用戶信息的日誌

/var/log/cron

記錄 crontab 命令是否被正確的執行

/var/log/vsftpd.log

記錄 Linux FTP 日誌

/var/log/lastlog

記錄登錄的用戶,可以使用命令 lastlog 查看

/var/log/secure

記錄大多數應用輸入的賬號與密碼,登錄成功與否

/var/log/wtmp

記錄登錄系統成功的賬戶信息,等同於命令 last

/var/log/btmp 記錄登錄系統失敗的用戶名單,等同於命令 lastb

/var/log/faillog

記錄登錄系統不成功的賬號信息,一般會被黑客刪除

 


您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • 概述 本文講述下拉框和枚舉類型進行綁定的一些操作。 下拉框的基本操作 設計部分: <ComboBox ItemsSource="{Binding Fruits}" SelectedItem="{Binding SelectedFruit}" SelectedIndex="{Binding Selec ...
  • 概述 本文描述WPF的自定義控制項和用戶控制項。 自定義控制項 前面文章介紹了WPF的ControlTemplate,當我們對系統控制項自帶的樣式不太滿意時,我們可以通過控制項模板自定義用戶的樣式,以Button為例,我們可以設計一個圓形的按鈕,並通過觸發器控制一些動態效果。在使用控制項模板時,我們通過Temp ...
  • 概述 本文描述WPF的附加屬性。對於使用MVVM框架的項目,附加屬性是非常重要的一個特性。 在MVVM框架下,ViewModel的代碼通過控制項的依賴屬性來控制控制項的,例如: //ViewModel public Visibility GridVisibility {get;set} public v ...
  • 一:背景 在 記憶體泄漏 的系列問題中,有一類問題是 記憶體碎片化 導致的,而且這種更容易發生在 LOH 上,因為它預設不開啟 對象壓縮,一般遇到這種情況,優先讓朋友執行下麵的代碼應急。 GCSettings.LargeObjectHeapCompactionMode = GCLargeObjectHe ...
  • 概述 本文描述幾個WPF的常用特性,包括:樣式、觸發器和控制項模板。 樣式/Style Style就是控制項的外觀,在XAML中,我們通過修改控制項的屬性值來設置它的樣式,如: <!--直接定義style--> <Border Grid.Row="0" Grid.Column="0" Background ...
  • 概述 本文描述幾款WPF中常用的佈局控制項。 Grid Grid是WPF最常用的佈局控制項。 它把面板分割為固定長和寬的網格,子控制項就放置在網格內。 <Grid> <Grid.ColumnDefinitions> <ColumnDefinition Width="100"/> <ColumnDefini ...
  • WPF是一個生不逢時的技術,剛推出的時候由於機器性能的原因會感覺很卡,等機器性能提高了,WEB時代又來了,做桌面應該的本來就不多了,加上WinForm又比較簡單易用,誰還用WPF呢! 在種情況下寫一個WPF快速開發入門的教程的意義是什麼呢?本教程是針對具備WinForm經驗的.NET開發人員,我希望... ...
  • 操作系統支持多個應用程式同時執行,每個應用至少對應一個進程,彼此之間的操作和數據不受干擾。當一個進程需要磁碟IO的時候,CPU就切換到另外的進程,提高了CPU利用率。有了進程,為什麼還要線程?因為進程的成本太高了。啟動新的進程必須分配獨立的記憶體空間,建立數據表維護它的代碼段、堆棧段和數據段,這是昂貴... ...
一周排行
    -Advertisement-
    Play Games
  • 移動開發(一):使用.NET MAUI開發第一個安卓APP 對於工作多年的C#程式員來說,近來想嘗試開發一款安卓APP,考慮了很久最終選擇使用.NET MAUI這個微軟官方的框架來嘗試體驗開發安卓APP,畢竟是使用Visual Studio開發工具,使用起來也比較的順手,結合微軟官方的教程進行了安卓 ...
  • 前言 QuestPDF 是一個開源 .NET 庫,用於生成 PDF 文檔。使用了C# Fluent API方式可簡化開發、減少錯誤並提高工作效率。利用它可以輕鬆生成 PDF 報告、發票、導出文件等。 項目介紹 QuestPDF 是一個革命性的開源 .NET 庫,它徹底改變了我們生成 PDF 文檔的方 ...
  • 項目地址 項目後端地址: https://github.com/ZyPLJ/ZYTteeHole 項目前端頁面地址: ZyPLJ/TreeHoleVue (github.com) https://github.com/ZyPLJ/TreeHoleVue 目前項目測試訪問地址: http://tree ...
  • 話不多說,直接開乾 一.下載 1.官方鏈接下載: https://www.microsoft.com/zh-cn/sql-server/sql-server-downloads 2.在下載目錄中找到下麵這個小的安裝包 SQL2022-SSEI-Dev.exe,運行開始下載SQL server; 二. ...
  • 前言 隨著物聯網(IoT)技術的迅猛發展,MQTT(消息隊列遙測傳輸)協議憑藉其輕量級和高效性,已成為眾多物聯網應用的首選通信標準。 MQTTnet 作為一個高性能的 .NET 開源庫,為 .NET 平臺上的 MQTT 客戶端與伺服器開發提供了強大的支持。 本文將全面介紹 MQTTnet 的核心功能 ...
  • Serilog支持多種接收器用於日誌存儲,增強器用於添加屬性,LogContext管理動態屬性,支持多種輸出格式包括純文本、JSON及ExpressionTemplate。還提供了自定義格式化選項,適用於不同需求。 ...
  • 目錄簡介獲取 HTML 文檔解析 HTML 文檔測試參考文章 簡介 動態內容網站使用 JavaScript 腳本動態檢索和渲染數據,爬取信息時需要模擬瀏覽器行為,否則獲取到的源碼基本是空的。 本文使用的爬取步驟如下: 使用 Selenium 獲取渲染後的 HTML 文檔 使用 HtmlAgility ...
  • 1.前言 什麼是熱更新 游戲或者軟體更新時,無需重新下載客戶端進行安裝,而是在應用程式啟動的情況下,在內部進行資源或者代碼更新 Unity目前常用熱更新解決方案 HybridCLR,Xlua,ILRuntime等 Unity目前常用資源管理解決方案 AssetBundles,Addressable, ...
  • 本文章主要是在C# ASP.NET Core Web API框架實現向手機發送驗證碼簡訊功能。這裡我選擇是一個互億無線簡訊驗證碼平臺,其實像阿裡雲,騰訊雲上面也可以。 首先我們先去 互億無線 https://www.ihuyi.com/api/sms.html 去註冊一個賬號 註冊完成賬號後,它會送 ...
  • 通過以下方式可以高效,並保證數據同步的可靠性 1.API設計 使用RESTful設計,確保API端點明確,並使用適當的HTTP方法(如POST用於創建,PUT用於更新)。 設計清晰的請求和響應模型,以確保客戶端能夠理解預期格式。 2.數據驗證 在伺服器端進行嚴格的數據驗證,確保接收到的數據符合預期格 ...