AI 助理
备案控制台
开发者社区 数据库 文章 正文

结合通义千问对CentOS靶机进行入侵排查

2024-08-20 191
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 本文介绍了一种在Linux系统中记录所有登录用户操作历史的方法,通过在/etc/profile中添加脚本代码,每次用户登录时会自动生成一个包含该用户操作历史的文件。同时,文章还提供了多种查看系统登录记录和日志的方法,如使用last, last -f /var/log/wtmp和cat /var/log/secure | grep 可疑IP等命令,帮助管理员监控系统活动和排查异常行为。此外,通过rpm -Va命令可检查文件完整性,识别可能存在的安全隐患。

查看历史命令 

history

image.png

查看历史登陆时间 

lastlog

image.png

查看日志文件

linux查看 /var/log/wtmp 文件查看可疑ip登陆。

last -f /var/log/wtmp

image.png

这个命令特别有用,例如在监控系统是否有新的登录活动时。如果只是想查看当前的登录记录而不需要实时更新,可以省略 -f 选项,即运行 last /var/log/wtmp 或简单地运行 last(默认情况下 last 命令会读取 /var/log/wtmp 文件)。

image.png

可疑IP登陆次数

查看/var/log/secure文件寻找可疑IP登陆次数。

cat /var/log/secure | grep 可疑IP

image.png

看到日志如上,执行导出保存为文本:

cat /var/log/secure | grep 可疑IP >> 1.txt

得到一个文本,我们直接将文本导入通义千问中(此处为靶机!靶机!靶机!)

image.png

通义给出的结果如下:

image.png

有的时候,靶机可能会考一些特殊的日志分析题目,比如登陆失败了多少次? 登陆成功的时间等?

这里也可以结合prompt来进行提问:

image.png

脚本输出所有登录用户的操作历史

在linux系统的环境下,不管是root用户还是其它的用户只有登陆系统后用进入操作我们都可以通过命令history来查看历史记录,可是假如一台服务器多人登陆,一天因为某人误操作了删除了重要的数据。这时候通过查看历史记录(命令:history)是没有什么意义了(因为history只针对登录用户下执行有效,即使root用户也无法得到其它用户histotry历史)。那有没有什么办法实现通过记录登陆后的IP地址和某用户名所操作的历史记录呢?答案:有的。

通过在 /etc/profile 里面加入以下代码就可以实现:

PS1="`whoami`@`hostname`:"'[$PWD]'
history
USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]
then
USER_IP=`hostname`
fi
if [ ! -d /tmp/dbasky ]
then
mkdir /tmp/dbasky
chmod 777 /tmp/dbasky
fi
if [ ! -d /tmp/dbasky/${
   LOGNAME} ]
then
mkdir /tmp/dbasky/${
   LOGNAME}
chmod 300 /tmp/dbasky/${
   LOGNAME}
fi
export HISTSIZE=4096
DT=`date "+%Y-%m-%d_%H:%M:%S"`
export HISTFILE="/tmp/dbasky/${LOGNAME}/${USER_IP} dbasky.$DT"
chmod 600 /tmp/dbasky/${
   LOGNAME}/*dbasky* 2>/dev/null

执行下列命令进入profile文件中

vi /etc/profile

添加上述代码,执行下方命令使之生效:

source /etc/profile 使用脚本生效

image.png

退出用户,重新登录。

上面脚本在系统的/tmp新建个dbasky目录,记录所有登陆过系统的用户和IP地址(文件名),每当用户登录/退出会创建相应的文件,该文件保存这段用户登录时期内操作历史,可以用这个方法来监测系统的安全性。

image.png

执行如下命令,查看脚本的输出内容:

cat localhost.localdomain\ dbasky.2024-08-20_15\:50\:06

image.png

查看文件完整性 

rpm -Va

image.png

其中前面的.S.5....T. C 意味着它的大小和最后修改时间发生了变化。这可能是因为有人手动编辑了这个文件,或者某个服务或程序在运行过程中更改了它。

  • /etc/rc.d/rc.local: 这是一个脚本,它会在系统启动时自动执行。

  • /etc/yum.repos.d/CentOS-Base.repo, CentOS-CR.repo, CentOS-Media.repo, CentOS-Sources.repo, CentOS-Vault.repo, CentOS-fasttrack.repo: 这些都是存储库配置文件,用于定义系统如何从远程服务器获取软件包。

  • /etc/pam.d/fingerprint-auth, password-auth, postlogin, smartcard-auth, system-auth: 这是一系列的 Pluggable Authentication Modules (PAM) 配置文件,用于控制系统的认证过程。

  • /etc/redis.conf: 这是 Redis 数据库的配置文件。状态为 S.5....T,同样表示其大小和最后修改时间发生变化。这可能是因为有人调整了 Redis 的配置参数。

  • /var/run/pluto: 这是 OpenVPN 使用的一个临时目录。

查看端口连接 

netstat -anp|grep  关键词

image.png

文章标签:
Linux
监控
NoSQL
Redis
存储
关键词:
CentOS靶机
周周的奇妙编程
目录
相关文章
xiejava
|
安全 关系型数据库 MySQL
CentOS7+LAMP+DVWA靶机搭建
Damn Vulnerable Web Application (DVWA)(译注:可以直译为:"该死的"不安全Web应用程序),是一个编码差的、易受攻击的 PHP/MySQL Web应用程序。 它的主要目的是帮助信息安全专业人员在合法的环境中,练习技能和测试工具,帮助 Web 开发人员更好地了解如何加强 Web 应用程序的安全性,并帮助学生和教师在可控的教学环境中了解和学习 Web 安全技术。本文通过实例从环境准备到安装一步步介绍了CentOS7+LAMP+DVWA靶机搭建。
xiejava
795 0
CentOS7+LAMP+DVWA靶机搭建
34789737
|
2月前
|
存储 Ubuntu Linux
VMware-安装CentOS系统教程及安装包
虚拟机相当于是一个独立于你电脑的环境,在这个环境上面,你可以安装Linux、Windows、Ubuntu等各个类型各个版本的系统,在这个系统里面你不用担心有病读等,不用担心文件误删导致系统崩溃。 虚拟机也和正常的电脑系统是一样的,也可以开关机,不用的时候,你关机就可以了,也不会占用你的系统资源,使用起来还是比较方便 这里也有已经做好的CentOS 7系统,下载下来解压后直接用VMware打开就可以使用
34789737
573 69
IvanCodes
|
26天前
|
存储 分布式计算 Linux
安装篇--CentOS 7 虚拟机安装
VMware 装 CentOS 7 不知道从哪下手?这篇超详细图文教程手把手教你在 VMware Workstation 中完成 CentOS 7 桌面系统的完整安装流程。从 ISO 镜像下载、虚拟机配置,到安装图形界面、设置用户密码,每一步都有截图讲解,适合零基础新手快速上手。装好之后无论你是要搭 Hadoop 集群,还是练 Linux ,这个环境都够你折腾一整天!
IvanCodes
543 2
蓝易云
|
2月前
|
Ubuntu Linux 索引
Centos 7、Debian及Ubuntu系统中安装和验证tree命令的指南。
通过上述步骤,我们可以在CentOS 7、Debian和Ubuntu系统中安装并验证 `tree`命令。在命令行界面中执行安装命令,然后通过版本检查确认安装成功。这保证了在多个平台上 `tree`命令的一致性和可用性,使得用户无论在哪种Linux发行版上都能使用此工具浏览目录结构。
蓝易云
283 78
IvanCodes
|
26天前
|
安全 关系型数据库 MySQL
CentOS 7 yum 安装 MySQL教程
在CentOS 7上安装MySQL 8,其实流程很清晰。首先通过官方Yum仓库来安装服务,然后启动并设为开机自启。最重要的环节是首次安全设置:需要先从日志里找到临时密码来登录,再修改成你自己的密码,并为远程连接创建用户和授权。最后,也别忘了在服务器防火墙上放行3306端口,这样远程才能连上。
IvanCodes
313 16
蓝易云
|
3月前
|
Linux 网络安全 Apache
针对在Centos/Linux安装Apache过程中出现的常见问题集锦
以上每个问题的解决方案应深入分析错误日志、系统消息和各种配置文件,以找到根本原因并加以解决。务必保持系统和Apache软件包更新到最新版本,以修复已知的bugs和安全漏洞。安装和管理Web服务器是一项需要细致关注和不断学习的任务。随着技术的发展,推荐定期查看官方文档和社区论坛,以保持知识的更新。
蓝易云
191 80
蓝易云
|
2月前
|
存储 关系型数据库 MySQL
在CentOS 8.x上安装Percona Xtrabackup工具备份MySQL数据步骤。
以上就是在CentOS8.x上通过Perconaxtabbackup工具对Mysql进行高效率、高可靠性、无锁定影响地实现在线快速全量及增加式数据库资料保存与恢复流程。通过以上流程可以有效地将Mysql相关资料按需求完成定期或不定期地保存与灾难恢复需求。
蓝易云
208 10
盹猫
|
3月前
|
人工智能 数据挖掘 Linux
Centos安装Python3.7(亲测可用)
本指南详细介绍了在基于Linux(以CentOS系统为例,使用yum包管理器)的系统上安装Python 3.7版本的完整流程。Python是一种广泛使用的高级编程语言,在各种领域如软件开发、数据分析、人工智能和区块链开发等都有着重要的应用。
盹猫
339 2
蓝易云
|
2月前
|
运维 网络协议 Linux
CentOS下Bind服务的安装与故障排查
通过以上的步骤,您应该能够在CentOS系统上安装并配置BIND DNS服务,并进行基本的故障排查。
蓝易云
217 0
蓝易云
|
4月前
|
机器人 Linux
CentOS 7系统中安装特定版本CMake 3.21.2的方法。
到这里,过程已经全部完成。如果你跟随上面的步骤来,那么你现在已经拥有了一个全新的CMake版本在你的CentOS 7系统上了。这个过程就像是你通过一系列仪式,唤醒了一个沉睡已久的古老机器人,它现在完全按照你的意愿来帮你构建和编译软件了。
蓝易云
317 18