zoukankan      html  css  js  c++  java
  • 应急溯源SSH日志查看小技巧

    正常登陆 Linux 以下几个位置记录相关日志:

    SSH登录操作相关的日志有以下几个位置:

    • /var/log/btmp,记录错误的登录尝试,查询命令:lastb
      /var/log/auth.log,记录认证成功的用户
      /var/log/secure,记录与安全相关的日志信息
      /var/log/lastlog,记录用户上次登录信息
      /var/log/wtmp,记录当前和曾经登入系统的用户信息,查询命令:last
      /var/run/utmp,记录当前正在登录系统的用户信息,查询命令:w
      ~/.bash_history,记录从最开始至上一次登录所执行过的命令,查询命令:history

      无法直接查看的需要通过:
      strings /var/log/wtmp  
      来查看内容

      正常日志溯源的时候  执行

      ps -aux|grep sshd
      

        

       正常登陆 putty 

    • sshd:root@pts/0

    • 使用sftp、rsyn、scp等协议进行登录

    • sshd:root@notty
       

    使用notty,能够绕过以下日志:
    
    /var/log/lastlog,记录用户上次登录信息
    /var/log/wtmp,记录当前和曾经登入系统的用户信息,查询命令:last
    /var/run/utmp,记录当前正在登录系统的用户信息,查询命令:w
    ~/.bash_history,记录从最开始至上一次登录所执行过的命令,查询命令:history


    防御关注点

    查看错误的登录尝试,查询命令:lastb,文件位置/var/log/btmp 查看认证成功的用户,文件位置/var/log/auth.log 查看tcp连接,查看命令:netstat -vatn
  • 相关阅读:
    shader之渐变长方体实现(threejs)
    shader之threejs应用
    shader之cesium应用
    pip install -- Failed building wheel for XXX
    pycharm -- 界面乱码
    Android Studio -- 优化速度
    django -- ImageField 上传图片修改头像
    AI -- 回溯法解决四皇后问题
    Android Studio -- 真机测试
    傻瓜函数式编程
  • 原文地址:https://www.cnblogs.com/anbuxuan/p/13667809.html
Copyright © 2011-2022 走看看