玄机 第一章 应急响应 Linux日志分析
简介
账号root密码linuxrz
ssh root@IP
- 有多少IP在爆破主机ssh的root帐号,如果有多个使用”,“分割
- ssh爆破成功登陆的IP是多少,如果有多个使用”,“分割
- 爆破用户名字典是什么?如果有多个使用”,“分割
- 登陆成功的IP共爆破了多少次
- 黑客登陆主机后新建了一个后门用户,用户名是多少
WP
首先是查看有多少 IP 在爆破 SSH,我们看日志,位置在 /var/log
我们主要看 auth.log
和 auth.log.1
,可能是在备份文件 auth.log.1
里。
SSH 登录爆破,会有关键字 Failed password
和 Accepted
出现,我们进行筛选
得到 IP 如下
提交,失败,重新看题,发现要求的是爆破 root 用户的 IP,没有 192.168.200.35
,重新提交,通过。
成功登录的 IP,很明显就是 192.168.200.2
。
爆破用户名字典是什么?直接看图就能看出来,test1,test2,test3,root,user,hello
登陆成功的 IP 共爆破了多少次,数数,192.168.200.2
对 root 用户爆破了 4 次
黑客登陆主机后新建了一个后门用户,我们找命令 useradd
新用户是 test2