应急响应——Linux日志分析

Posted 2021-10-04 Thgilil

Linux系统中日志存放位置
/var/log/
不同linux发行版的该目录下的其他日志位置可能不同，具体情况具体分析

查看日志配置情况： cat /etc/rsyslog.conf

/var/log/目录下，所有日志情况

/var/log/wtmp 登录进入，退出，数据交换、关机和重启纪录，即last
/var/log/lastlog 文件记录用户最后登录的信息，即lastlog
/var/log/secure 记录登入系统存取数据的文件，如 pop3/ssh/telnet/ftp
/var/log/cron 与定时任务相关的日志信息
/var/log/message 系统启动后的信息和错误日志
/var/log/apache2/access.log apache access log
/var/log/message 包括整体系统信息
/var/log/auth.log 包含系统授权信息，包括用户登录和使用的权限机制等
/var/log/userlog 记录所有等级用户信息的日志
/var/log/cron 记录crontab命令是否被正确的执行
/var/log/xferlog(vsftpd.log)记录Linux FTP日志
/var/log/lastlog 记录登录的用户，可以使用命令lastlog查看
/var/log/secure 记录大多数应用输入的账号与密码，登录成功与否
var/log/faillog　　 记录登录系统不成功的账号信息

比较重要的几个日志：

登录失败记录：/var/log/btmp //lastb
最后一次登录：/var/log/lastlog 或者 //lastlog
登录成功记录: /var/log/wtmp //last
登录日志记录：/var/log/secure
目前登录用户信息：/var/run/utmp //w、who、users
历史命令记录：history 仅清理当前用户： history -c

简单攻击日志分析

命令：find、grep、egrep、awk、sed、tail
linux下对大小写敏感，匹配字符时请自行填写应匹配的字符

• 系统账号情况

##出root外，是否还具有其他特权用户（uid为0）
$ awk -F: '$3==0{print $1}' /etc/passwd

##可以远程登录的账号信息
$ awk '/\\$1|\\$6/{print $1}' /etc/shadow

• 内核及系统日志

message

##一般内核及大多数系统消息都被记录到其中
/var/log/messages

secure

##记录系统存储数据的文件，如pop3、ssh、telnet、ftp的登录成功、失败等
/var/log/secure

对/var/log/secure日志进行分析
查看系统受攻击情况

##登录失败情况
grep -o "Failed password" /var/log/secure|uniq -c

##输出登录爆破的第一行和最后一行，确认爆破时间范围：
grep "Failed password" /var/log/secure|head -1

grep "Failed password" /var/log/secure|tail -1

##定位哪些ip在爆破
grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c | sort -nr

##爆破用户名字典有哪些
grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\\n";}'|uniq -c|sort -nr


##管理员近期登录情况
grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'

##成功登录ip
grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

• 用户日志

wtmp
记录了用户的登录、退出、重启等情况，
因为/var/log/wtmp文件是二进制文件，无法直接访问，所以使用last命令查看

last

• 程序日志

多是常见的web中间件及应用程序日志，比如httpd、apache、mysql、weblogic、jboss、iis、tomcat等，这里将单独开一篇文件进行分析。

重要的是思路

这里是引用