查看历史命令
history
查看历史登陆时间
lastlog
查看日志文件
linux查看 /var/log/wtmp 文件查看可疑ip登陆。
last -f /var/log/wtmp
这个命令特别有用,例如在监控系统是否有新的登录活动时。如果只是想查看当前的登录记录而不需要实时更新,可以省略 -f 选项,即运行 last /var/log/wtmp 或简单地运行 last(默认情况下 last 命令会读取 /var/log/wtmp 文件)。
可疑IP登陆次数
查看/var/log/secure文件寻找可疑IP登陆次数。
cat /var/log/secure | grep 可疑IP
看到日志如上,执行导出保存为文本:
cat /var/log/secure | grep 可疑IP >> 1.txt
得到一个文本,我们直接将文本导入通义千问中(此处为靶机!靶机!靶机!)
通义给出的结果如下:
有的时候,靶机可能会考一些特殊的日志分析题目,比如登陆失败了多少次? 登陆成功的时间等?
这里也可以结合prompt来进行提问:
脚本输出所有登录用户的操作历史
在linux系统的环境下,不管是root用户还是其它的用户只有登陆系统后用进入操作我们都可以通过命令history来查看历史记录,可是假如一台服务器多人登陆,一天因为某人误操作了删除了重要的数据。这时候通过查看历史记录(命令:history)是没有什么意义了(因为history只针对登录用户下执行有效,即使root用户也无法得到其它用户histotry历史)。那有没有什么办法实现通过记录登陆后的IP地址和某用户名所操作的历史记录呢?答案:有的。
通过在 /etc/profile 里面加入以下代码就可以实现:
PS1="`whoami`@`hostname`:"'[$PWD]'
history
USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]
then
USER_IP=`hostname`
fi
if [ ! -d /tmp/dbasky ]
then
mkdir /tmp/dbasky
chmod 777 /tmp/dbasky
fi
if [ ! -d /tmp/dbasky/${
LOGNAME} ]
then
mkdir /tmp/dbasky/${
LOGNAME}
chmod 300 /tmp/dbasky/${
LOGNAME}
fi
export HISTSIZE=4096
DT=`date "+%Y-%m-%d_%H:%M:%S"`
export HISTFILE="/tmp/dbasky/${LOGNAME}/${USER_IP} dbasky.$DT"
chmod 600 /tmp/dbasky/${
LOGNAME}/*dbasky* 2>/dev/null
执行下列命令进入profile文件中
vi /etc/profile
添加上述代码,执行下方命令使之生效:
source /etc/profile 使用脚本生效
退出用户,重新登录。
上面脚本在系统的/tmp新建个dbasky目录,记录所有登陆过系统的用户和IP地址(文件名),每当用户登录/退出会创建相应的文件,该文件保存这段用户登录时期内操作历史,可以用这个方法来监测系统的安全性。
执行如下命令,查看脚本的输出内容:
cat localhost.localdomain\ dbasky.2024-08-20_15\:50\:06
查看文件完整性
rpm -Va
其中前面的.S.5....T. C 意味着它的大小和最后修改时间发生了变化。这可能是因为有人手动编辑了这个文件,或者某个服务或程序在运行过程中更改了它。
/etc/rc.d/rc.local: 这是一个脚本,它会在系统启动时自动执行。
/etc/yum.repos.d/CentOS-Base.repo, CentOS-CR.repo, CentOS-Media.repo, CentOS-Sources.repo, CentOS-Vault.repo, CentOS-fasttrack.repo: 这些都是存储库配置文件,用于定义系统如何从远程服务器获取软件包。
/etc/pam.d/fingerprint-auth, password-auth, postlogin, smartcard-auth, system-auth: 这是一系列的 Pluggable Authentication Modules (PAM) 配置文件,用于控制系统的认证过程。
/etc/redis.conf: 这是 Redis 数据库的配置文件。状态为 S.5....T,同样表示其大小和最后修改时间发生变化。这可能是因为有人调整了 Redis 的配置参数。
/var/run/pluto: 这是 OpenVPN 使用的一个临时目录。
查看端口连接
netstat -anp|grep 关键词
