溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點(diǎn)擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

如何使用Linux服務(wù)器的巡檢用戶和基礎(chǔ)命令,捕捉用戶登錄痕跡?

發(fā)布時(shí)間:2020-08-09 08:52:23 來源:ITPUB博客 閱讀:179 作者:neverinit 欄目:建站服務(wù)器

本文使用一個(gè) 最普通的巡檢用戶,查看RedHat 7.4系統(tǒng)日志,檢查 用戶登錄痕跡,說明如何判斷是否存在 違規(guī)訪問記錄,如跳板訪問等。

這里需要關(guān)心的日志列表如下

  • /var/log/lastlog  二進(jìn)制文件,記錄了最近的連接記錄

  • /var/log/wtmp  二進(jìn)制文件,記錄每個(gè)用戶的登錄和注銷信息

  • /var/log/secure  文本文件,記錄用戶的登錄行為信息

  • /var/log/btmp  二進(jìn)制文件,記錄失敗的登錄嘗試信息

  • /run/utmp  二進(jìn)制文件,記錄當(dāng)前登錄用戶信息

01


使用cat命令查看

如果只有cat等基礎(chǔ)命令,二進(jìn)制文件輸出的內(nèi)容會(huì)以亂碼形式出現(xiàn)

如何使用Linux服務(wù)器的巡檢用戶和基礎(chǔ)命令,捕捉用戶登錄痕跡?

不過雖然亂碼很多,但是也可以看到關(guān)鍵信息, 圖中可以看出歷史訪問的IP信息,以及所用的訪問用戶。 如果發(fā)現(xiàn)可疑的IP地址,那就可以深入的行為分析了。

02


使用strings命令查看

用strings命令可以查看二進(jìn)制文件信息,輸出的內(nèi)容比較接近文本內(nèi)容。分別查看文件內(nèi)容如下:

執(zhí)行命令: strings lastlog

  • 關(guān)注的要點(diǎn)是檢查是否存在可疑IP地址

[root@test log]# strings lastlog
^pts/2
182.207.162.59
[pts/1
^pts/0
182.207.162.59
^pts/0
^pts/7

執(zhí)行命令: strings wtmp

  • 因?yàn)檩敵鰞?nèi)容過多,截取部分展示,關(guān)注的要點(diǎn)是用戶和IP地址是否可疑

    ts/0cams
182.207.177.97
pts/0
pts/0
ts/0root
182.207.177.122
pts/0
pts/0
ts/0cams
182.119.114.218
pts/0
pts/0
ts/0cams
182.207.162.59

    執(zhí)行命令: strings /run/utmp

    • 關(guān)注當(dāng)前是否還有其他IP地址連上服務(wù)器

      [cams@test log]$ strings /run/utmp 
reboot
3.10.0-693.el7.x86_64
runlevel
3.10.0-693.el7.x86_64
pts/0
ts/0cams
182.207.162.59
pts/1
ts/1
pts/2
ts/2root
182.207.162.59

      03


      其他情況

      但是也可能存在部分系統(tǒng)日志無權(quán)限訪問的情況 

        [cams@test log]$ strings btmp
strings: btmp: 權(quán)限不夠
[cams@test log]$ strings secure
strings: secure: 權(quán)限不夠

        對于 執(zhí)行cat命令 提示權(quán)限不夠的文件,如果有sudo cat權(quán)限就能看,如果沒有sudo cat權(quán)限就不能看。一般情況下,生產(chǎn)環(huán)境巡檢用戶擁有sudo cat權(quán)限。

        對于btmp文件,可以結(jié)合secure文件判斷是否存在 嘗試登錄行為,重點(diǎn)還是關(guān)注日志中的IP地址是否可疑,訪問行為是否合規(guī)等!

        截取和展示/var/log/secure文本文件部分內(nèi)容,可以清晰看到帶時(shí)間戳的日志信息,失敗的登錄信息是Failed開頭,成功的登錄信息是Accepted開頭,IP地址和用戶等信息也清晰可見。

          Jun 18 19:13:09 test sshd[24648]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=182.207.162.59  user=root
Jun 18 19:13:09 test sshd[24648]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Jun 18 19:13:11 test sshd[24648]: Failed password for root from 182.207.162.59 port 28680 ssh3
Jun 18 19:13:16 test sshd[24648]: error: Received disconnect from 182.207.162.59 port 28680:0:  [preauth]
Jun 18 19:13:16 test sshd[24648]: Disconnected from 182.207.162.59 port 28680 [preauth]
Jun 18 19:13:59 test sshd[24683]: Accepted password for root from 182.207.162.59 port 28814 ssh3
Jun 18 19:13:59 test sshd[24683]: pam_unix(sshd:session): session opened for user root by (uid=0)

          如何使用Linux服務(wù)器的巡檢用戶和基礎(chǔ)命令,捕捉用戶登錄痕跡?

          可能有的同學(xué)會(huì)問,為什么不用grep、awk、sed等命令匹配日志文件中的IP地址,或者執(zhí)行shell腳本,然后輸出結(jié)果呢?

          答:因?yàn)橐话闵a(chǎn)環(huán)境有命令白名單,限制了很多命令的使用,最基礎(chǔ)的命令才能適用于絕大多數(shù)生產(chǎn)環(huán)境。另外,巡檢用戶只有讀權(quán)限,創(chuàng)建和執(zhí)行shell腳本等也不會(huì)被允許。

          向AI問一下細(xì)節(jié)

          免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

          AI