DEV Community
·
Linux日志分析 | Hammered实验室 | CyberDefenders
💡
原文英文,约700词,阅读约需3分钟。
📝
内容提要
文章介绍了如何分析日志文件以识别攻击者行为和系统信息。通过PowerShell命令,用户可以提取SSH登录尝试、操作系统版本、受损账户、成功登录的IP地址和Apache请求数量等信息。最后总结了攻击者的IP地址、扫描工具名称及数据库警告等关键数据。
🎯
关键要点
-
文章介绍了如何分析日志文件以识别攻击者行为和系统信息。
-
提供了不同类型的日志文件,包括kern.log、auth.log、daemon.log、dmesg和apache2。
-
使用PowerShell命令提取SSH登录尝试、操作系统版本、受损账户等信息。
-
攻击者使用SSH服务访问系统。
-
目标系统的操作系统版本为Linux 2.6.24-26-server。
-
受损账户为root,失败密码尝试次数高于其他用户。
-
成功访问系统的攻击者IP地址总数为17,但根据挑战问题正确答案为6。
-
攻击者IP地址219.150.161.206成功登录次数最多。
-
Apache服务器接收到的请求总数为3657。
-
防火墙中添加的规则数量为68,使用的防火墙为iptables。
-
下载到目标系统的扫描工具为nmap。
-
攻击者IP 219.150.161.20的最后登录时间为04/19/2010 05:56:05 AM。
-
数据库显示的最重要和危险的警告是mysql.user包含2个没有密码的root账户。
-
在目标系统上创建的账户wind3str0y是在04月26日04:43:15创建的。
-
使用代理进行扫描的攻击者的用户代理为pxyscand/2.1。
❓
延伸问答
攻击者使用了什么服务来访问系统?
SSH
目标系统的操作系统版本是什么?
Linux 2.6.24-26-server
受损的账户名称是什么?
root
成功访问系统的攻击者IP地址总数是多少?
6
哪个攻击者的IP地址成功登录次数最多?
219.150.161.206
Apache服务器接收到的请求总数是多少?
3657
➡️
