应急响应——Linux日志分析

Posted Thgilil

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了应急响应——Linux日志分析相关的知识,希望对你有一定的参考价值。

Linux系统中日志存放位置
/var/log/
不同linux发行版的该目录下的其他日志位置可能不同,具体情况具体分析

查看日志配置情况: cat /etc/rsyslog.conf

/var/log/目录下,所有日志情况

/var/log/wtmp 登录进入,退出,数据交换、关机和重启纪录,即last
/var/log/lastlog 文件记录用户最后登录的信息,即lastlog
/var/log/secure 记录登入系统存取数据的文件,如 pop3/ssh/telnet/ftp
/var/log/cron 与定时任务相关的日志信息
/var/log/message 系统启动后的信息和错误日志
/var/log/apache2/access.log apache access log
/var/log/message 包括整体系统信息
/var/log/auth.log 包含系统授权信息,包括用户登录和使用的权限机制等
/var/log/userlog 记录所有等级用户信息的日志
/var/log/cron 记录crontab命令是否被正确的执行
/var/log/xferlog(vsftpd.log)记录Linux FTP日志
/var/log/lastlog 记录登录的用户,可以使用命令lastlog查看
/var/log/secure 记录大多数应用输入的账号与密码,登录成功与否
var/log/faillog   记录登录系统不成功的账号信息

比较重要的几个日志:

登录失败记录:/var/log/btmp //lastb
最后一次登录:/var/log/lastlog 或者 //lastlog
登录成功记录: /var/log/wtmp //last
登录日志记录:/var/log/secure
目前登录用户信息:/var/run/utmp //w、who、users
历史命令记录:history 仅清理当前用户: history -c

简单攻击日志分析

命令:find、grep、egrep、awk、sed、tail
linux下对大小写敏感,匹配字符时请自行填写应匹配的字符

  • 系统账号情况
##出root外,是否还具有其他特权用户(uid为0)
$ awk -F: '$3==0print $1' /etc/passwd

##可以远程登录的账号信息
$ awk '/\\$1|\\$6/print $1' /etc/shadow

  • 内核及系统日志

message

##一般内核及大多数系统消息都被记录到其中
/var/log/messages

secure

##记录系统存储数据的文件,如pop3、ssh、telnet、ftp的登录成功、失败等
/var/log/secure

对/var/log/secure日志进行分析
查看系统受攻击情况

##登录失败情况
grep -o "Failed password" /var/log/secure|uniq -c

##输出登录爆破的第一行和最后一行,确认爆破时间范围:
grep "Failed password" /var/log/secure|head -1

grep "Failed password" /var/log/secure|tail -1

##定位哪些ip在爆破
grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c | sort -nr

##爆破用户名字典有哪些
grep "Failed password" /var/log/secure|perl -e 'while($_=<>) /for(.*?) from/; print "$1\\n";'|uniq -c|sort -nr


##管理员近期登录情况
grep "Accepted " /var/log/secure | awk 'print $1,$2,$3,$9,$11'

##成功登录ip
grep "Accepted " /var/log/secure | awk 'print $11' | sort | uniq -c | sort -nr | more
  • 用户日志

wtmp
记录了用户的登录、退出、重启等情况,
因为/var/log/wtmp文件是二进制文件,无法直接访问,所以使用last命令查看

last

  • 程序日志

多是常见的web中间件及应用程序日志,比如httpd、apache、mysql、weblogic、jboss、iis、tomcat等,这里将单独开一篇文件进行分析。

重要的是思路

这里是引用

以上是关于应急响应——Linux日志分析的主要内容,如果未能解决你的问题,请参考以下文章

应急响应——Linux日志分析

应急响应——Linux日志分析

Linux系统应急响应

应急响应

应急响应排查思路

浅析Linux系统入侵排查与应急响应技术