日志排查——linux
目录
- 介绍
- 步骤
介绍
/var/log/wtmp:记录登录进入、退出、数据交换、关机和重启,即last。
/var/log/cron:记录与定时任务相关的日志信息。
/var/log/messages:记录系统启动后的信息和错误日志。
/var/log/apache2/access.log:记录Apache的访问日志。
/var/log/auth.log:记录系统授权信息,包括用户登录和使用的权限机制等。
/var/log/userlog:记录所有等级用户信息的日志。
/var/log/xferlog(vsftpd.log):记录Linux FTP日志。
/var/log/lastlog:记录登录的用户,可以使用命令lastlog查看。
/var/log/secure:记录大多数应用输入的账号与密码,以及登录成功与否。
/var/log/faillog:记录登录系统不成功的账号信息。
步骤
进入日志目录,cd /var/log
对服务器的ssh爆破行为,对应查看secure日志文件,cat secure-20220721 |grep Failed
输入命令grep "Failed password" /var/log/secure-20220721 |grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c查看爆破的IP
输入命令grep "Failed password" /var/log/secure-20220721 |perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr查看爆破的用户
查看最近用户的登陆情况grep "Accepted " /var/log/secure* | awk '{print $1,$2,$3,$9,$11}'
root账户在1月13 日 21:57:56 登录了该服务器,在爆破的时间范围内(21:51:32——21:58:31)
wxiaoge账户在 1月14 日 00:47:33登录了该服务器