Linux入*侵分析(二)分析SSH登录日志 |
您所在的位置:网站首页 › linux登陆记录 › Linux入*侵分析(二)分析SSH登录日志 |
|
Linux入*侵分析(二)分析SSH登录日志
原创
Mike_Rock_Cloud 2018-05-09 17:50:05 博主文章分类:Security ©著作权 文章标签 ***分析 云安全 SSH日志 文章分类 云平台 云计算 ©著作权归作者所有:来自51CTO博客作者Mike_Rock_Cloud的原创作品,请联系作者获取转载授权,否则将追究法律责任SSH登录情况分析 1.wtmp日志 last last -x -F 2.查看在线用户情况(1)w 命令用于显示已经登陆系统的用户列表,并显示用户正在执行的指令。单独执行w命令会显示所有的用户,您也可指定用户名称,仅显示某位用户的相关信息。 (2)who am i 显示你的出口IP地址,该地址用于SSH连接的源IP who am i root pts/0 2018-03-29 04:12 (111.204.243.8) 3.SSH登录日志分析 cat /var/log/secure |more less /var/log/secure|grep 'Accepted' less /var/log/auth.log|grep 'Accepted'检查/var/log目录下的secure(CentOS)或者auth.log(Ubuntu),如果存在大量异常IP高频率尝试登录,且有成功登录记录(重点查找事发时间段),在微步在线上查询该登录IP信息,如果为恶意IP且与用户常用IP无关,则很有可能为用户弱口令被成功爆破。 /var/log/其他日志说明: /var/log/message 一般信息和系统信息 /var/log/secure 登陆信息 /var/log/maillog mail记录 /var/log/utmp /var/log/wtmp登陆记录信息(last命令即读取此日志) 打赏 赞 收藏 评论 分享 举报上一篇:京东云VPC对等连接(VPC Peering) 下一篇:Windows主机入*侵分析思路 |
今日新闻 |
推荐新闻 |
| CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |