应急响应——Linux日志分析
Posted Thgilil
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了应急响应——Linux日志分析相关的知识,希望对你有一定的参考价值。
Linux系统中日志存放位置
/var/log/
不同linux发行版的该目录下的其他日志位置可能不同,具体情况具体分析
查看日志配置情况: cat /etc/rsyslog.conf
/var/log/目录下,所有日志情况
/var/log/wtmp 登录进入,退出,数据交换、关机和重启纪录,即last
/var/log/lastlog 文件记录用户最后登录的信息,即lastlog
/var/log/secure 记录登入系统存取数据的文件,如 pop3/ssh/telnet/ftp
/var/log/cron 与定时任务相关的日志信息
/var/log/message 系统启动后的信息和错误日志
/var/log/apache2/access.log apache access log
/var/log/message 包括整体系统信息
/var/log/auth.log 包含系统授权信息,包括用户登录和使用的权限机制等
/var/log/userlog 记录所有等级用户信息的日志
/var/log/cron 记录crontab命令是否被正确的执行
/var/log/xferlog(vsftpd.log)记录Linux FTP日志
/var/log/lastlog 记录登录的用户,可以使用命令lastlog查看
/var/log/secure 记录大多数应用输入的账号与密码,登录成功与否
var/log/faillog 记录登录系统不成功的账号信息
比较重要的几个日志:
登录失败记录:/var/log/btmp //lastb
最后一次登录:/var/log/lastlog 或者 //lastlog
登录成功记录: /var/log/wtmp //last
登录日志记录:/var/log/secure
目前登录用户信息:/var/run/utmp //w、who、users
历史命令记录:history 仅清理当前用户: history -c
简单攻击日志分析
命令:find、grep、egrep、awk、sed、tail
linux下对大小写敏感,匹配字符时请自行填写应匹配的字符
- 系统账号情况
##出root外,是否还具有其他特权用户(uid为0)
$ awk -F: '$3==0print $1' /etc/passwd
##可以远程登录的账号信息
$ awk '/\\$1|\\$6/print $1' /etc/shadow
- 内核及系统日志
message
##一般内核及大多数系统消息都被记录到其中
/var/log/messages
secure
##记录系统存储数据的文件,如pop3、ssh、telnet、ftp的登录成功、失败等
/var/log/secure
对/var/log/secure日志进行分析
查看系统受攻击情况
##登录失败情况
grep -o "Failed password" /var/log/secure|uniq -c
##输出登录爆破的第一行和最后一行,确认爆破时间范围:
grep "Failed password" /var/log/secure|head -1
grep "Failed password" /var/log/secure|tail -1
##定位哪些ip在爆破
grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c | sort -nr
##爆破用户名字典有哪些
grep "Failed password" /var/log/secure|perl -e 'while($_=<>) /for(.*?) from/; print "$1\\n";'|uniq -c|sort -nr
##管理员近期登录情况
grep "Accepted " /var/log/secure | awk 'print $1,$2,$3,$9,$11'
##成功登录ip
grep "Accepted " /var/log/secure | awk 'print $11' | sort | uniq -c | sort -nr | more
- 用户日志
wtmp
记录了用户的登录、退出、重启等情况,
因为/var/log/wtmp文件是二进制文件,无法直接访问,所以使用last命令查看
last
- 程序日志
多是常见的web中间件及应用程序日志,比如httpd、apache、mysql、weblogic、jboss、iis、tomcat等,这里将单独开一篇文件进行分析。
重要的是思路
这里是引用
以上是关于应急响应——Linux日志分析的主要内容,如果未能解决你的问题,请参考以下文章