玄机——第一章 应急响应-Linux日志分析 wp

简介

账号root密码linuxrz
ssh root@IP
1.有多少IP在爆破主机ssh的root帐号，如果有多个使用","分割
2.ssh爆破成功登陆的IP是多少，如果有多个使用","分割
3.爆破用户名字典是什么？如果有多个使用","分割
4.登陆成功的IP共爆破了多少次
5.黑客登陆主机后新建了一个后门用户，用户名是多少
参考链接
https://blog.csdn.net/administratorlws/article/details/139560740

linux日志

Linux系统中的日志文件通常存储在 /var/log 目录下，常见的日志文件包括：
/var/log/syslog：记录系统的各种信息和错误。
/var/log/auth.log：记录身份验证相关的信息，如登录和认证失败。
/var/log/kern.log：记录内核生成的日志信息。
/var/log/dmesg：记录系统启动时内核产生的消息。
/var/log/boot.log：记录系统启动过程中的消息。
/var/log/messages：记录系统的广泛消息，包括启动和应用程序信息。
/var/log/secure：记录安全相关的消息。
/var/log/httpd/：记录Apache HTTP服务器的访问和错误日志（若安装了Apache）。
/var/log/nginx/：记录Nginx服务器的访问和错误日志（若安装了Nginx）。

1.有多少IP在爆破主机ssh的root帐号，如果有多个使用","分割

打开题目使用Xshell连接
问题是有多少ip在爆破主机,一般ssh登录记录在/var/log目录
使用cd命令切换到/var/log目录下

cat auth.log.1 | grep -a "Failed password for root" | awk '{print $11}' | sort | uniq -c | sort -nr | more

命令解释cat auth.log.1查看日志文件auth.log.1grep -a "Failed password for root"在日志文件中匹配使用密码登录失败的用户-a 将二进制文件当作文本文件处理awk '{print $11}'标准日志输出中，IP地址在第11位字符sort排序uniq -c去重，并且统计每个IP出现的次数，uniq只处理相邻行，使用前要先 sortsort -nr再次排序-n 选项表示按数值进行排序。-r 使用降序排序more分页，防止过长

flag{192.168.200.2,192.168.200.31,192.168.200.32}

2.ssh爆破成功登陆的IP是多少，如果有多个使用","分割

cat auth.log.1 | grep -a "Accepted " | awk '{print $11}' | sort | uniq -c | sort -nr | more

命令解释grep -a "Accepted "搜索成功认证记录

在Linux系统的认证日志（例如auth.log）中，"Accepted"这个词通常用来标识成功的登录尝试。
当一个用户或者系统通过认证机制成功登录时，相关的日志条目会包含"Accepted"这个词。这包括通过SSH、FTP、sudo等方式的成功登录。

flag{192.168.200.2}

3.爆破用户名字典是什么？如果有多个使用","分割

cat auth.log.1 | grep -a "Failed password" |perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr

这个命令链的主要作用是分析auth.log.1文件，提取出所有包含"Failed password"字符串的行，这通常表明有失败的登录尝试。
然后，它使用Perl脚本提取出失败尝试的用户名和来源IP地址，统计每个用户名的失败尝试次数，并按照次数降序排列显示结果。

命令解释"Failed password"：搜索包含密码失败字符串的行
perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'perl -e执行代码while($_=<>)从每一行执行/for(.*?) from/;使用正则匹配，匹配for和from之间的项，即用户名print "$1\n";输出

flag{user,hello,root,test3,test2,test1}

4.登陆成功的IP共爆破了多少次

与第一问类似，因为第一问已经统计过了

flag{4}

5.黑客登陆主机后新建了一个后门用户，用户名是多少

同样的，需要在auth.log.1文件中寻找

cat auth.log.1 |grep -a "new user"

直接在文件中搜索新用户创建的记录