DEV Community
·
Linux日志分析 | Hammered实验室 | CyberDefenders
💡
原文英文,约700词,阅读约需3分钟。
📝
内容提要
文章介绍了如何分析日志文件以识别攻击者行为和系统信息。通过PowerShell命令,用户可以提取SSH登录尝试、操作系统版本、受损账户、成功登录的IP地址和Apache请求数量等信息。最后总结了攻击者的IP地址、扫描工具名称及数据库警告等关键数据。
🎯
关键要点
- 文章介绍了如何分析日志文件以识别攻击者行为和系统信息。
- 提供了不同类型的日志文件,包括kern.log、auth.log、daemon.log、dmesg和apache2。
- 使用PowerShell命令提取SSH登录尝试、操作系统版本、受损账户等信息。
- 攻击者使用SSH服务访问系统。
- 目标系统的操作系统版本为Linux 2.6.24-26-server。
- 受损账户为root,失败密码尝试次数高于其他用户。
- 成功访问系统的攻击者IP地址总数为17,但根据挑战问题正确答案为6。
- 攻击者IP地址219.150.161.206成功登录次数最多。
- Apache服务器接收到的请求总数为3657。
- 防火墙中添加的规则数量为68,使用的防火墙为iptables。
- 下载到目标系统的扫描工具为nmap。
- 攻击者IP 219.150.161.20的最后登录时间为04/19/2010 05:56:05 AM。
- 数据库显示的最重要和危险的警告是mysql.user包含2个没有密码的root账户。
- 在目标系统上创建的账户wind3str0y是在04月26日04:43:15创建的。
- 使用代理进行扫描的攻击者的用户代理为pxyscand/2.1。
➡️
