官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
zero1234- 关注
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
前言
相信各个师傅都收到了消息,今年的护网将是常态化护网,周期非常的长。在这几天,已经有各大厂商开始陆续的收集简历了吧,相信以护网的薪酬,大家都想分一杯羹。那么我们学会应急响应是必不可少的!让我们也马上卷起来吧!
温馨提示
文章并未写全所有的姿势以及知识点,整篇文章知识点围绕着靶场需要的知识点进行讲解,可能对小白并不是特别友好~但我会尽量讲的详细一点。
但我这几天把基础的章节也赶制了出来,不懂基础的朋友可以先去看看
Linux日志分析与中间件分析:一篇实用的应急响应教程[四] - FreeBuf网络安全行业门户
Linux入侵检测:一篇实用的应急响应教程[三] - FreeBuf网络安全行业门户
Windows日志分析:一篇实用的应急响应教程[二] - FreeBuf网络安全行业门户
Windows入侵检测与排查:一篇实用的应急响应教程[一] - FreeBuf网络安全行业门户
正式开始
知识点一:如何排查Linux的登录日志?
首先Linux进行应急响应的时候要明确版本
uname -a 可以查看出版本信息
例如:
这里的版本就是:Ubuntu,当然自己不认识的话就丢到AI中,AI认识~
为什么要知道版本信息呢?
根据版本的不同,存储日志的地方也就不同
在Ubuntu以及Debian下可以查看auth.log日志文件/var/log/auth.log
在redhat以及Centos下可以查看secure日志文件/var/log/secure.log
该日志文件记录了所有与用户认证、权限管理相关的活动,例如:登录成功、失败,记录用户名、来源 IP、时间戳及认证方式。
如何排查登录日志呢?
只需要看 auth.log 的日志,就可以对恶意的登录进行排查,还可以对恶意使用sudo命令进行排查。
这里就只提对恶意的登录进行排查~
cat auth.log* --> 就可以查看所有的auth.log文件,包括auth.log.1、auth.log.2、auth.log.3、auth.log
可以理解为*是一个模糊匹配的意思,只要前面是auth.log就会查看。这样就能大大的缩短我们的排查时间,而不是一个一个文件进行排查~
知识点一:如何对日志进行准确、快速的排查?
方式一:gunzip -d auth.log 打包所有的日志
然后很简单,放到execl中,再进行分析就好了~
方式二:使用命令行
grep "Failed" 命令~,这个命令很有意思,我们先看最简单的一个:cat auth.log
以它为例:cat auth.log | grep "session opened"
懂了吧,很好理解~,就是你想看auth.log中包含某个字段的结果的时候,就可以加上一个
| grep "某个字段" 是不是很好理解~
但是这样结果也太多了,也不好统计啊,当然也可以复制到execl中.......但也太捞了~
所以我们学怎么才能统计~
cat auth.log | grep -c "session opened"
这样就能统计auth.log含有session opened字段,一共含有几条信息了~
除了这种方式,还有一种方式,后面再讲~
当一下场景下,我们需要筛选出同时满足两个条件的日志信息怎么办?很简单
cat auth.log* | grep "session opened" | grep "root(uid=0)"
畅读付费文章
已在FreeBuf发表 28 篇文章
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
- 28 文章数
- 37 关注者