8.7 sqlmap从入门到精通-Linux服务器登录连接日志分析

8.7.1-4 Linux记录用户登录信息文件

• Linux系统登录连接日志的文件有/var/run/utmp, /var/log/wtmp,/var/log/btmp这3个重要文件，这些文件不能使用编辑器打开，可以使用strins命令查看部分信息
• /var/run/utmp  记录当前正在登录系统的用户信息
• /var/log/wtmp  记录当前正在登录系统和历史登录系统的用户信息，包括关机，重启日志也记录在wtmp文件中，通常使用last，lastb命令进行读取，最后一次登录文件可用lastlog命令
• /var/log/btmp  btmp记录失败的登录尝试信息，一般使用lastb命令可以读取查看，也可以使用last -f /var/log/btmp命令查看
• 常用的命令

• last -n 5 -a -i   显示前5行的登录信息，并显示IP地址且将IP地址显示在最后一行
  last -n 8 -f /var/log/btmp  显示远程SSH登录的详细信息
  last -F   显示完整的登录登出信息
  last -x   列出带系统关机，重启等信息

• 实际操作的过程中，可以将目标沦陷的主机上的日志文件wtmp,btmp拷贝到本地重新改个名字(不要跟原来一样)，然后使用last -f /var/log/wtmp8 等操作
• 登录用户统计信息

• last | awk '{shit[$3]++} {for (a in shit) print s[a],a}' | sort | uniq | sort -h

• 查看系统最后登录的用户情况
• lastlog
• 清除用户最后登录的日志lastlog -C -u bmfx
• ac命令统计用户连接时间

8.7.5 w,who,users命令

• w命令：可以查看当前登录系统的用户信息及用户当前的进程，w的信息来自两个文件，/var/run/utmp（用户登录信息) 和/proc/(进程信息)
• 常用案例
• w 查询显示有哪些用户登录
• w -f 查询显示有哪些用户登录，但是不显示用户从什么地方登录的系统信息
• w bmfx 查询用户bmfx的登录情况 
• who命令：显示当前登录系统的用户信息，执行了这个命令就知道当前系统有哪些用户登录了
• 具体看如下操作示例：
• 
• users命令：显示当前正在登录的系统用户名

8.7.6 utmpdump命令

• utmpdump命令是来自sysvinit-tools包，一般可以用于转储二进制日志文件到文本格式的文件这是为了方便排查，默认情况下这工具是预装在Centos6和Centos7，同时此工具还可以修改二进制文件，其中就包括了/var/run/utmp,/var/log/wtmp/,/var/log/btmp/这些文件，修改了这些文件就是修改了系统记录，所以这里的权限要控制好。
• 常用命令
• utmpdump /var/run/utmp
• utmpdump /var/log/wtmp
• utmpdump /var/log/btmp
• 具体演示记录
• 
• 
• 
• 使用utmpdump修改日志伪造，修改utmp或wtmp文件
• 将utmp或者wtmp内容输出为文本格式，并修改文本输出内容，然后将修改好的内容导入二进制日志中
• 导出utmp文件
• utmpdump /var/run/utmp > utmp_output.txt
• 使用vim编辑器修改文件utmp_output.txt
• 重新 导入到文件/var/run/utmp
• utmpdump -r utmp_output.txt > /var/run/utmp 
• 看如下演示
• 

8.7.7 取证思路

• 使用Windows的PE盘，Kali启动盘，复制系统文件/var/log/btmp, /var/log/wtmp, /run/utmp , /var/log/lastlog

8.7.8 记录Linux用户的所有操作脚本，这个一般在配置文件/etc/profile文件的末尾添加以下代码即可

• PS1="`whoami`@`hostname`:"'[$PWD]'
  history
  USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
  if [ "$USER_IP" = "" ]
  then
  USER_IP=`hostname`
  fi
  if [ ! -d /tmp/history ]
  then
  mkdir /tmp/history
  chmod 777 /tmp/history
  fi
  if [ ! -d /tmp/history/${LOGNAME} ]
  then
  mkdir /tmp/history/${LOGNAME}
  chmod 300 /tmp/history/${LOGNAME}
  fi
  export HISTSIZE=4096
  DT=`date +"%Y%m%d_%H%M%S"`
  export HISTFILE="/tmp/history/${LOGNAME}/${USER_IP} history.$DT"
  chmod 600 /tmp/history/${LOGNAME}/*history* 2>/dev/null

  转：https://blog.51cto.com/cuimk/1259414

• 初始化/var/log/history
• mkdir /var/log/history
• 先看看/home有多少个用户，然后就创建多少个用户并授权即可
• mkdir /var/log/history/bmfx
• chown bmfx:bmfx bmfx -R
• 然后到对应的目录下查看即可