日誌分析與痕跡清理

2021-10-23 19:50:43 字數 2613 閱讀 6227

auth.log/secure 使用者登入日誌以及其許可權

btmp/wtmp 登入失敗記錄/使用者登入記錄

lastlog/faillog 最後一次登入記錄/登入失敗記錄

/var/log/messages — 包括整體系統資訊,其中也包含系統啟動期間的日誌。此外,mail,cron,daemon,kern和auth等內容也記錄在var/log/messages日誌中。

/var/log/dmesg — 包含核心緩衝資訊(kernel ring buffer)。在系統啟動時,會在螢幕上顯示許多與硬體有關的資訊。可以用dmesg檢視它們。

/var/log/auth.log — 包含系統授權資訊,包括使用者登入和使用的許可權機制等。

/var/log/boot.log — 包含系統啟動時的日誌。

/var/log/daemon.log — 包含各種系統後台守護程序日誌資訊。

/var/log/dpkg.log – 包括安裝或dpkg命令清除軟體包的日誌。

/var/log/kern.log – 包含核心產生的日誌,有助於在定製核心時解決問題。

/var/log/lastlog — 記錄所有使用者的最近資訊。這不是乙個ascii檔案,因此需要用lastlog命令檢視內容。

/var/log/maillog /var/log/mail.log — 包含來著系統執行電子郵件伺服器的日誌資訊。例如,sendmail日誌資訊就全部送到這個檔案中。

/var/log/user.log — 記錄所有等級使用者資訊的日誌。

/var/log/xorg.x.log — 來自x的日誌資訊。

/var/log/alternatives.log – 更新替代資訊都記錄在這個檔案中。

/var/log/btmp – 記錄所有失敗登入資訊。使用last命令可以檢視btmp檔案。例如,」last -f /var/log/btmp | more「。

/var/log/cups — 涉及所有列印資訊的日誌。

/var/log/anaconda.log — 在安裝linux時,所有安裝資訊都儲存在這個檔案中。

/var/log/yum.log — 包含使用yum安裝的軟體包資訊。

/var/log/cron — 每當cron程序開始乙個工作時,就會將相關資訊記錄在這個檔案中。

/var/log/secure — 包含驗證和授權方面資訊。例如,sshd會將所有資訊記錄(其中包括失敗登入)在這裡。

/var/log/wtmp或/var/log/utmp — 包含登入資訊。使用wtmp可以找出誰正在登陸進入系統,誰使用命令顯示這個檔案或資訊等。

/var/log/faillog – 包含使用者登入失敗資訊。此外,錯誤登入命令也會記錄在本檔案中。

/var/log/httpd/或/var/log/apache2 — 包含伺服器access_log和error_log資訊。

/var/log/lighttpd/ — 包含light httpd的access_log和error_log。

/var/log/mail/ – 這個子目錄包含郵件伺服器的額外日誌。

/var/log/prelink/ — 包含.so檔案被prelink修改的資訊。

/var/log/audit/ — 包含被 linux audit daemon儲存的資訊。

/var/log/samba/ – 包含由samba儲存的資訊。

/var/log/sa/ — 包含每日由sysstat軟體包收集的sar檔案。

/var/log/sssd/ – 用於守護程序安全服務。

除了手動存檔和清除這些日誌檔案以外,還可以使用logrotate在檔案達到一定大小後自動刪除。可以嘗試用vi,tail,grep和less等命令檢視這些日誌檔案。

eventvwr#開啟日誌頁面

awk -f: 『$3==0』 /etc/passwd #檢視檔案中是否有其他特權使用者 (uid = 0)

#以 ':'為分隔符讀取/etc/passwd的資料,當第三個部分等於0的時候,輸出第乙個部分。

awk 『/$1|$6/』 /etc/shadow #可遠端登入的使用者資訊

grep 「failed password」 /var/log/secure|perl -e 『while($_=<>)』|uniq -c|sort -nr #定位爆破使用者名稱

grep 「failed password」 /var/log/secure|grep -e -o 「(25[0-5]|2[0-4][0-9]| [01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0- 9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)」|uniq -c | sort -nr #定位爆破ip

grep -o 「failed password」 /var/log/secure|uniq -c #登入失敗的次數

grep "accepted " /var/log/secure | awk 『』 | sort | uniq -c | sort -nr | more #統計登陸成功的ip

6 6 痕跡清理

6.6.1.4.時間軸 6.6.2.linux 6.6.3.難點 6.6.4.注意 登入日誌 6.6.1.3.1.prefetch 預讀取資料夾,用來存放系統已訪問過的檔案的預讀資訊,擴充套件名為pf。位置在c windows prefetch。6.6.1.3.2.jumplists 6.6.1.3...

Linux 入侵痕跡清理技巧

vim bash history 編輯history記錄檔案,刪除部分不想被儲存的歷史命令 history c 清除當前使用者的history命令記錄 histsize 0 通過修改配置檔案 etc profile,使系統不再儲存命令記錄 var log btmp 記錄所有登入失敗資訊,使用last...

Linux 痕跡清理 隱藏程序

1.偷換系統二進位制檔案 ps top 等 防範 比對hash 系統完整性檢查工具,比如tripwrie aide等 2.修改hook呼叫函式 修改命令返回結果,原函式getdents 防範 sysdig 開源 檢測ld preload環境變數是否有異常,ld.so.preload檔案異常 時間,大...