玄机 第一章 应急响应 Linux日志分析

玄机 第一章 应急响应 Linux日志分析

Tue Oct 29 2024
2 分钟

简介#

账号root密码linuxrz

ssh root@IP

  • 有多少IP在爆破主机ssh的root帐号,如果有多个使用”,“分割
  • ssh爆破成功登陆的IP是多少,如果有多个使用”,“分割
  • 爆破用户名字典是什么?如果有多个使用”,“分割
  • 登陆成功的IP共爆破了多少次
  • 黑客登陆主机后新建了一个后门用户,用户名是多少

WP#

首先是查看有多少 IP 在爆破 SSH,我们看日志,位置在 /var/log

我们主要看 auth.logauth.log.1,可能是在备份文件 auth.log.1 里。

SSH 登录爆破,会有关键字 Failed passwordAccepted 出现,我们进行筛选

SHELL
1
grep -a "Failed password" auth.log.1

得到 IP 如下

PLAINTEXT
1
2
3
4
192.168.200.35
192.168.200.32
192.168.200.2
192.168.200.31

提交,失败,重新看题,发现要求的是爆破 root 用户的 IP,没有 192.168.200.35,重新提交,通过。

成功登录的 IP,很明显就是 192.168.200.2

爆破用户名字典是什么?直接看图就能看出来,test1,test2,test3,root,user,hello

登陆成功的 IP 共爆破了多少次,数数,192.168.200.2 对 root 用户爆破了 4 次

黑客登陆主机后新建了一个后门用户,我们找命令 useradd

SHELL
1
grep -a "useradd" auth.log.1

新用户是 test2