記錄一次入侵Linux系統 思路講解
尊重知識版權 本文來源:Loxt.CN hekyike.com
業務合作請點擊下方鏈接。 滲透測試 安防 破解平台 等。
https://loxt.cn/hackjiedan.htmlLinux 入侵檢測小結
0x00 審計命令
在linux中有5個用於審計的命令:
- last:這個命令可用於查看我們系統的成功登錄、關機、重啟等情況;這個命令就是將/var/log/wtmp文件格式化輸出。
- lastb:這個命令用於查看登錄失敗的情況;這個命令就是將/var/log/btmp文件格式化輸出。
- lastlog:這個命令用於查看用戶上一次的登錄情況;這個命令就是將/var/log/lastlog文件格式化輸出。
- who:這個命令用戶查看當前登錄系統的情況;這個命令就是將/var/log/utmp文件格式化輸出。
- w:與who命令一致。
關於它們的使用:man last,last與lastb命令使用方法類似:
1
2 3 4#!bash
last [-R] [-num] [ -n num ] [-adFiowx] [ -f file ] [ -t YYYYMMDDHHMMSS ] [name...] [tty...]
lastb [-R] [-num] [ -n num ] [ -f file ] [-adFiowx] [name...] [tty...]
who [OPTION]... [ FILE | ARG1 ARG2 ]
參數說明:
- 查看系統登錄情況 last:不帶任何參數,顯示系統的登錄以及重啟情況 last
- 只針對關機/重啟 使用
-x
參數可以針對不同的情況進行查看last -x reboot - 只針對登錄 使用
-d
參數,並且參數後不用跟任何選項 last -d - 顯示錯誤的登錄信息 lastb
- 查看當前登錄情況 who、w
0x01 日誌查看
在Linux系統中,有三類主要的日誌子系統:
- 連接時間日誌: 由多個程序執行,把記錄寫入到/var/log/wtmp和/var/run/utmp,login等程序會更新wtmp和utmp文件,使系統管理員能夠跟蹤誰在何時登錄到系統。(utmp、wtmp日誌文件是多數Linux日誌子系統的關鍵,它保存了用戶登錄進入和退出的記錄。有關當前登錄用戶的信息記錄在文件utmp中; 登錄進入和退出記錄在文件wtmp中; 數據交換、關機以及重啟的機器信息也都記錄在wtmp文件中。所有的記錄都包含時間戳。)
- 進程統計: 由系統內核執行,當一個進程終止時,為每個進程往進程統計文件(pacct或acct)中寫一個記錄。進程統計的目的是為系統中的基本服務提供命令使用統計。
- 錯誤日誌: 由syslogd(8)守護程序執行,各種系統守護進程、用戶程序和內核通過syslogd(3)守護程序向文件/var/log/messages報告值得注意的事件。另外有許多Unix程序創建日誌。像HTTP和FTP這樣提供網路服務的伺服器也保持詳細的日誌。
日誌目錄:/var/log
(默認目錄)
- 查看進程日誌
cat /var/log/messages