结合通义千问对CentOS靶机进行入侵排查

简介: 本文介绍了一种在Linux系统中记录所有登录用户操作历史的方法,通过在/etc/profile中添加脚本代码,每次用户登录时会自动生成一个包含该用户操作历史的文件。同时,文章还提供了多种查看系统登录记录和日志的方法,如使用last, last -f /var/log/wtmp和cat /var/log/secure | grep 可疑IP等命令,帮助管理员监控系统活动和排查异常行为。此外,通过rpm -Va命令可检查文件完整性,识别可能存在的安全隐患。

查看历史命令

history

image.png

查看历史登陆时间

lastlog

image.png

查看日志文件

linux查看 /var/log/wtmp 文件查看可疑ip登陆。

last -f /var/log/wtmp

image.png

这个命令特别有用,例如在监控系统是否有新的登录活动时。如果只是想查看当前的登录记录而不需要实时更新,可以省略 -f 选项,即运行 last /var/log/wtmp 或简单地运行 last(默认情况下 last 命令会读取 /var/log/wtmp 文件)。

image.png

可疑IP登陆次数

查看/var/log/secure文件寻找可疑IP登陆次数。

cat /var/log/secure | grep 可疑IP

image.png

看到日志如上,执行导出保存为文本:

cat /var/log/secure | grep 可疑IP >> 1.txt

得到一个文本,我们直接将文本导入通义千问中(此处为靶机!靶机!靶机!)

image.png

通义给出的结果如下:

image.png

有的时候,靶机可能会考一些特殊的日志分析题目,比如登陆失败了多少次? 登陆成功的时间等?

这里也可以结合prompt来进行提问:

image.png

脚本输出所有登录用户的操作历史

在linux系统的环境下,不管是root用户还是其它的用户只有登陆系统后用进入操作我们都可以通过命令history来查看历史记录,可是假如一台服务器多人登陆,一天因为某人误操作了删除了重要的数据。这时候通过查看历史记录(命令:history)是没有什么意义了(因为history只针对登录用户下执行有效,即使root用户也无法得到其它用户histotry历史)。那有没有什么办法实现通过记录登陆后的IP地址和某用户名所操作的历史记录呢?答案:有的。

通过在 /etc/profile 里面加入以下代码就可以实现:

PS1="`whoami`@`hostname`:"'[$PWD]'
history
USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]
then
USER_IP=`hostname`
fi
if [ ! -d /tmp/dbasky ]
then
mkdir /tmp/dbasky
chmod 777 /tmp/dbasky
fi
if [ ! -d /tmp/dbasky/${
   LOGNAME} ]
then
mkdir /tmp/dbasky/${
   LOGNAME}
chmod 300 /tmp/dbasky/${
   LOGNAME}
fi
export HISTSIZE=4096
DT=`date "+%Y-%m-%d_%H:%M:%S"`
export HISTFILE="/tmp/dbasky/${LOGNAME}/${USER_IP} dbasky.$DT"
chmod 600 /tmp/dbasky/${
   LOGNAME}/*dbasky* 2>/dev/null

执行下列命令进入profile文件中

vi /etc/profile

添加上述代码,执行下方命令使之生效:

source /etc/profile 使用脚本生效

image.png

退出用户,重新登录。

上面脚本在系统的/tmp新建个dbasky目录,记录所有登陆过系统的用户和IP地址(文件名),每当用户登录/退出会创建相应的文件,该文件保存这段用户登录时期内操作历史,可以用这个方法来监测系统的安全性。

image.png

执行如下命令,查看脚本的输出内容:

cat localhost.localdomain\ dbasky.2024-08-20_15\:50\:06

image.png

查看文件完整性

rpm -Va

image.png

其中前面的.S.5....T. C 意味着它的大小和最后修改时间发生了变化。这可能是因为有人手动编辑了这个文件,或者某个服务或程序在运行过程中更改了它。

  • /etc/rc.d/rc.local: 这是一个脚本,它会在系统启动时自动执行。

  • /etc/yum.repos.d/CentOS-Base.repo, CentOS-CR.repo, CentOS-Media.repo, CentOS-Sources.repo, CentOS-Vault.repo, CentOS-fasttrack.repo: 这些都是存储库配置文件,用于定义系统如何从远程服务器获取软件包。

  • /etc/pam.d/fingerprint-auth, password-auth, postlogin, smartcard-auth, system-auth: 这是一系列的 Pluggable Authentication Modules (PAM) 配置文件,用于控制系统的认证过程。

  • /etc/redis.conf: 这是 Redis 数据库的配置文件。状态为 S.5....T,同样表示其大小和最后修改时间发生变化。这可能是因为有人调整了 Redis 的配置参数。

  • /var/run/pluto: 这是 OpenVPN 使用的一个临时目录。

查看端口连接

netstat -anp|grep  关键词

image.png

相关文章
|
安全 关系型数据库 MySQL
CentOS7+LAMP+DVWA靶机搭建
Damn Vulnerable Web Application (DVWA)(译注:可以直译为:"该死的"不安全Web应用程序),是一个编码差的、易受攻击的 PHP/MySQL Web应用程序。 它的主要目的是帮助信息安全专业人员在合法的环境中,练习技能和测试工具,帮助 Web 开发人员更好地了解如何加强 Web 应用程序的安全性,并帮助学生和教师在可控的教学环境中了解和学习 Web 安全技术。本文通过实例从环境准备到安装一步步介绍了CentOS7+LAMP+DVWA靶机搭建。
556 0
CentOS7+LAMP+DVWA靶机搭建
|
1月前
|
存储 安全 Linux
CentOS安装SeaweedFS
通过上述步骤,您应该能够在CentOS系统上成功安装并启动SeaweedFS。记住,根据实际部署规模和需求,可能还需要进一步调整配置参数和优化网络布局。SeaweedFS的灵活性和扩展性意味着随着使用深入,您可能需要探索更多高级配置和管理策略。
106 64
|
1月前
|
存储 安全 Linux
CentOS安装SeaweedFS
通过上述步骤,您应该能够在CentOS系统上成功安装并启动SeaweedFS。记住,根据实际部署规模和需求,可能还需要进一步调整配置参数和优化网络布局。SeaweedFS的灵活性和扩展性意味着随着使用深入,您可能需要探索更多高级配置和管理策略。
114 61
|
9天前
|
SQL 存储 Linux
从配置源到数据库初始化一步步教你在CentOS 7.9上安装SQL Server 2019
【11月更文挑战第8天】本文介绍了在 CentOS 7.9 上安装 SQL Server 2019 的详细步骤,包括系统准备、配置安装源、安装 SQL Server 软件包、运行安装程序、初始化数据库以及配置远程连接。通过这些步骤,您可以顺利地在 CentOS 系统上部署和使用 SQL Server 2019。
|
10天前
|
SQL 存储 Linux
从配置源到数据库初始化一步步教你在CentOS 7.9上安装SQL Server 2019
【11月更文挑战第7天】本文介绍了在 CentOS 7.9 上安装 SQL Server 2019 的详细步骤,包括系统要求检查与准备、配置安装源、安装 SQL Server 2019、配置 SQL Server 以及数据库初始化(可选)。通过这些步骤,你可以成功安装并初步配置 SQL Server 2019,进行简单的数据库操作。
|
1月前
|
Linux 网络安全 数据安全/隐私保护
Linux系统之Centos7安装cockpit图形管理界面
【10月更文挑战第12天】Linux系统之Centos7安装cockpit图形管理界面
74 1
Linux系统之Centos7安装cockpit图形管理界面
|
17天前
|
关系型数据库 MySQL Linux
在 CentOS 7 中通过编译源码方式安装 MySQL 数据库的详细步骤,并与使用 RPM 包安装进行了对比
本文介绍了在 CentOS 7 中通过编译源码方式安装 MySQL 数据库的详细步骤,并与使用 RPM 包安装进行了对比。通过具体案例,读者可以了解如何准备环境、下载源码、编译安装、配置服务及登录 MySQL。编译源码安装虽然复杂,但提供了更高的定制性和灵活性,适用于需要高度定制的场景。
53 3
|
18天前
|
关系型数据库 MySQL Linux
在 CentOS 7 中通过编译源码安装 MySQL 数据库的详细步骤,并与使用 RPM 包安装进行了对比。
本文介绍了在 CentOS 7 中通过编译源码安装 MySQL 数据库的详细步骤,并与使用 RPM 包安装进行了对比。内容涵盖准备工作、下载源码、编译安装、配置服务、登录设置及实践心得,帮助读者根据需求选择最适合的安装方法。
34 2
|
1月前
|
NoSQL 数据可视化 Linux
redis学习四、可视化操作工具链接 centos redis,付费Redis Desktop Manager和免费Another Redis DeskTop Manager下载、安装
本文介绍了Redis的两个可视化管理工具:付费的Redis Desktop Manager和免费的Another Redis DeskTop Manager,包括它们的下载、安装和使用方法,以及在使用Another Redis DeskTop Manager连接Redis时可能遇到的问题和解决方案。
122 1
redis学习四、可视化操作工具链接 centos redis,付费Redis Desktop Manager和免费Another Redis DeskTop Manager下载、安装
|
20天前
|
关系型数据库 MySQL Linux
在 CentOS 7 中通过编译源码方式安装 MySQL 数据库的详细步骤,包括准备工作、下载源码、编译安装、配置 MySQL 服务、登录设置等。
本文介绍了在 CentOS 7 中通过编译源码方式安装 MySQL 数据库的详细步骤,包括准备工作、下载源码、编译安装、配置 MySQL 服务、登录设置等。同时,文章还对比了编译源码安装与使用 RPM 包安装的优缺点,帮助读者根据需求选择最合适的方法。通过具体案例,展示了编译源码安装的灵活性和定制性。
61 2