玄机蓝队靶场_应急响应_01:linux日志分析

个人感觉这个靶场主要考验对linux的命令的基础掌握，对日志路径的基本了解。

一：解题

（1）ssh连接靶场，先用命令lsb_release -a看看是什么系统。然后发现是Debian GNU/Linux 10 (buster)，不太熟悉，结合AI，了解到linux系统日志基本是在/var/log路径,结合搜索，登录相关日志基本上在auth和secure文件中，但是debian没有secure日志。

cd /var/log
ls -al
##发现两个文件auth.log和auth.log.1，.1肯定是日志备份文件。
##又因为auth.log只有本机连接靶机的记录，所以应该看auth.log.1，
##原本应该很顺利对auth.log.1文件进行grep搜索，结果莫名其妙报错说二进制文件不支持，
##后面看别人WP没有这个问题好像，在这上面卡了挺久
##结合AI找到了解决办法：
xxd -p ./auth2.log | tr -d '\n' | sed 's/../& /g' | xxd -r -p | tr -cd '\11\12\15\40-\176' > ascii_output.txt
##把二进制变成ASCII编码保存，然后再cat再grep就没事了。
##查看对root爆破的ip的命令：
grep -E "root" ./ascii_output.txt | sort | uniq -c | sort -nr 
##或者这个
grep -E "pam_unix\(sshd:auth\): authentication failure" ./ascii_output.txt | sort | uniq -c | sort -nr

（2）这个就一个，简单
（3）这个账户名字典卡了半个多钟，
test1,test2,test3,user,hello,root
没想到是按照出现频率来排列。
（4）刚开始觉得是19，错了之后意识到IP只算爆破root账户的次数，那就是4.
（5）没用日志分析，直接
cat /etc/passwd
发现两个账户，debian和test2.
正确姿势：
grep -a "new user" auth.log.1

二：收获

(1):了解到自己对linux命令还是不够熟悉：
使用到的命令：

lsb_release -a

xxd -p ./auth2.log | tr -d '\n' | sed 's/../& /g' | xxd -r -p | tr -cd '\11\12\15\40-\176' > ascii_output.txt

grep -E "sshd.*Accepted password|pam_unix\(sshd:auth\): authentication failure" /var/log/auth.log* /var/log/secure* /var/log/auth.log /var/log/audit/audit.log 2>/dev/null | awk '{print $(NF-3)}' | sort | uniq -c | sort -nr

grep -E "root" ./ascii_output.txt | sort | uniq -c | sort -nr 

grep -E "pam_unix\(sshd:auth\): authentication failure" ./ascii_output.txt | sort | uniq -c | sort -nr

grep -a "Failed password for root" /var/log/auth.log.1 | awk '{print $11}'| sort | uniq

grep -a "new user" auth.log.1

对于grep命令：

    -E 用于扩展正则表达式，允许更复杂的模式匹配。
    -a 用于将二进制文件视为文本，确保能够读取和处理其中的文本行。(直接代替那个xxd重新ASCII编码了)

对于uniq:

    -c：输出每一行及其出现的次数。

对于sort

    -n：表示按照数字进行排序。这个选项会将输入的内容当作数字进行排序，而不是字母或字符的排序。
    -r：表示以递减（降序）顺序进行排序。默认情况下，sort 是按升序排序的，加上 -r 选项后，会以相反的顺序排列。

另外还有：

awk '{ print $1, $3 }' file.txt ##打印第1和第3列
| awk '{print $11}' ##打印对应的第11列

(2)对于linux文件系统结构中日志文件存放路径不清晰：

根目录（/）： 所有目录和文件的起始点。根目录包含了整个文件系统的基本结构。
/bin： 存放系统命令（二进制文件）的目录。这里包含了许多用户和系统都需要使用的基本命令，如ls、cp、mv等。
/boot： 存放启动系统所需的文件，包括内核文件和引导加载程序（Bootloader）。
/dev： 包含设备文件，每个硬件设备在这个目录下都有相应的文件表示。
/etc： 存放系统配置文件的目录。这里包含了许多系统的配置文件，如网络配置、用户配置等。
/home： 用户的主目录。每个用户在这个目录下都有一个独立的子目录，用于存放个人文件和配置。
/lib和/lib64： 存放系统和应用程序所需的共享库文件。
/mnt： 用于挂载其他文件系统的临时挂载点。
/opt： 用于存放第三方软件的安装目录。
/proc： 虚拟文件系统，提供了内核和进程的信息，可以通过读取这里的文件获取系统状态。
/root： 超级用户（root）的主目录。
/sbin： 存放系统命令（二进制文件），与/bin类似，不过这里的命令通常是供超级用户使用的。
/tmp： 用于存放临时文件的目录。
/usr： 存放系统用户和系统管理器命令的目录，也包含了一些共享的系统资源。
/var： 存放经常变化的文件，如日志文件、缓存文件等。

其中日志文件路径通常在：
/var/log/auth.log* /var/log/secure* /var/log/auth.log /var/log/audit/audit.log
可以参考：https://mp.weixin.qq.com/s/oYkXES5vXecBJyk64ghxoQ

另外，关于这类好用的日志分析工具，听说有个splunk，没用过，有机会试试。