玄机 第一章 应急响应 Linux日志分析
玄机 第一章 应急响应 Linux日志分析
特让他也让简介
账号 root 密码 linuxrz
ssh root@IP
- 有多少 IP 在爆破主机 ssh 的 root 帐号,如果有多个使用”,”分割
- ssh 爆破成功登陆的 IP 是多少,如果有多个使用”,”分割
- 爆破用户名字典是什么?如果有多个使用”,”分割
- 登陆成功的 IP 共爆破了多少次
- 黑客登陆主机后新建了一个后门用户,用户名是多少
WP
首先是查看有多少 IP 在爆破 SSH,我们看日志,位置在 /var/log
我们主要看 auth.log
和 auth.log.1
,可能是在备份文件 auth.log.1
里。
SSH 登录爆破,会有关键字 Failed password
和 Accepted
出现,我们进行筛选
1 | grep -a "Failed password" auth.log.1 |
得到 IP 如下
1 | 192.168.200.35 |
提交,失败,重新看题,发现要求的是爆破 root 用户的 IP,没有 192.168.200.35
,重新提交,通过。
成功登录的 IP,很明显就是 192.168.200.2
。
爆破用户名字典是什么?直接看图就能看出来,test1,test2,test3,root,user,hello
登陆成功的 IP 共爆破了多少次,数数,192.168.200.2
对 root 用户爆破了 4 次
黑客登陆主机后新建了一个后门用户,我们找命令 useradd
1 | grep -a "useradd" auth.log.1 |
新用户是 test2
评论
匿名评论隐私政策