本文主要是介绍玄机应急响应-Linux日志分析,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
1、有多少IP在爆破主机ssh的root帐号,如果有多个使用","分割
root@ip-10-0-10-4:/var/log# cat auth.log.1 | grep -a "Failed password for root" | awk '{print($11)}' | uniq | sort
192.168.200.2
192.168.200.31
192.168.200.32这段命令是用于在 /var/log/auth.log.1 文件中查找所有包含字符串 "Failed password for root" 的行,然后从中提取出IP地址信息,最后进行统计和排序。
2.ssh爆破成功登陆的IP是多少,如果有多个使用","分割
root@ip-10-0-10-4:~# cat /var/log/auth.log.1 | grep -a "Accepted password for root" | awk '{print $11}' | sort | uniq -c | sort -nr | more2 192.168.200.23、爆破用户名字典是什么?如果有多个使用","分割
root@ip-10-0-10-4:~# cat /var/log/auth.log.1 | grep -a "Failed password" | perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'| uniq -c | sort -nr5 invalid user user5 invalid user hello5 invalid user 4 root1 root1 root1 invalid user test31 invalid user test21 invalid user test1借鉴大佬:逐步解释perl命令,perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}': 这一部分使用 Perl 脚本。-e 选项表示在命令行中提供脚本代码。Perl 脚本的作用是遍历每一行,然后使用正则表达式 /for(.*?) from/ 捕获括号中的内容,即登录失败的用户名。捕获的内容由 $1 引用,然后通过 print "$1\n"; 打印出来,每个用户名占一行。
4、登陆成功的IP共爆破了多少次、
root@ip-10-0-10-4:~# cat /var/log/auth.log.1 | grep -a "Failed password for root" | awk '{print $11}' | sort | uniq -c | sort -nr | more4 192.168.200.21 192.168.200.321 192.168.200.315、黑客登陆主机后新建了一个后门用户,用户名是多少
root@ip-10-0-10-4:~# cat /var/log/auth.log.1 |grep -a "new user"
Aug 1 07:50:45 linux-rz useradd[7551]: new user: name=test2, UID=1000, GID=1000, home=/home/test2, shell=/bin/sh
Aug 1 08:18:27 ip-172-31-37-190 useradd[487]: new user: name=debian, UID=1001, GID=1001, home=/home/debian, shell=/bin/bash这篇关于玄机应急响应-Linux日志分析的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
