玄机靶第一章 应急响应-Linux日志分析

第一章 应急响应-Linux日志分析

简介

1.有多少IP在爆破主机ssh的root帐号，如果有多个使用",“分割
2.ssh爆破成功登陆的IP是多少，如果有多个使用”,“分割
3.爆破用户名字典是什么？如果有多个使用”,"分割
4.登陆成功的IP共爆破了多少次
5.黑客登陆主机后新建了一个后门用户，用户名是多少

这次靶场是用来确定攻击者的相关信息，以便于后期的溯源和编写应急响应报告。

flag 1.有多少IP在爆破主机ssh的root帐号，如果有多个使用","分割

linux默认日志存放在/var/log目录下
比较重要的几个文件：登录错误信息（btmp），登录成功（wtmp），最后一次登录（lastlog），登录日志（secure）
除此之外，auth.log.1 文件是一个非常重要的系统日志文件，包含了许多与安全相关的信息，可以用于监控、分析和排查系统故障和安全问题所以可以通过查看它来确定相关信息。

cat /var/log/auth.log.1 | grep -a "Failed password for root" | awk '{print $11}' | sort | uniq -