Linux操作系统的基本指令

1、登录日志

/var/log/:该文件夹存放了Linux操作系统的系统日志

/var/log/lastlog：记录了用户最后一次登录的信息

查看方式：lastlog
排查：是否存在恶意用户，及恶意用户登录的时间

/var/log/btmp：所有用户登录失败的信息，ssh登录（爆破）
文件查看：last -f /var/log/btmp	
lastb

排查：是否存在登录爆破的行为

题目---攻击者登录失败的次数：
lastb | grep "192.168.23.1" -c
攻击发生的日期：lastb -F

2、系统日志

/var/log/secure与/var/log/auth.log：记录了Linux登录信息--成功、失败
/var/log/secure：centos、红帽
    /var/log/auth.log：ubuntu、debain
/var/log/cron：定时任务

3、命令记录

Linux下存放了某个文件，该文件记录了连接登录的用户执行了哪些命令存放在用户家目录
root用户：cat /root/.bash_history		
          history
普通用户：/home/username/ 
pwd：查看当前路径

4、用户文件分析

cat /etc/passwd：记录了Linux系统的用户信息
a：是否存在恶意用户（可疑用户名）
b：是否存在除root用户以外的其他可登录用户
c：是否存在与root用户权限一致的用户
用户名:x:用户id:组id:用户注释:家目录:登录shell
查看linux的所有用户：compgen -u

5、命令技巧

grep
uniq、sort
vi：编辑文件，若不存在，则创建，进入之后按字母 i 进行文件编辑，编辑完成，先按esc健，再输入 :wq 保存并推出，回车
sort -n：将指定文件内容从小到大进行排序
sort -r：将指定文件内容从大到小进行排序
uniq -c：合并相连且大小一致的字符，-c并计数
sort -nr：将计数后的值从大到小进行排序
cat 1.txt | sort -n | uniq -c | sort -nr

6、awk

cd /var/log/apache2
查看文件行数：wc -l
awk -F" " '{print $1}' access.log
提取攻击者IP：awk -F" " '{print $1}' access.log | sort -n | uniq -c | sort -nr

7、cut

问题：攻击者在哪一分钟访问的次数最多
cut -c：截取指定字段的选择字符范围
awk -F" " '{print $4}' access.log | cut -c 14-18 | sort -n | uniq -c | sort -nr

日志分析重点：明确日志存放位置

1、如果是Windows、3389连接后，发现该系统安装了IIS，若存在攻击行为，需找到IIS日志并分析
	IIS图形化管理界面中，存在日志配置选项，该选项下写入了日志存放位置
	保存目录下，存在W3SVC1，意思为对应站点日志
	考点若为IIS，其日志量不大（使用记事本/编辑器打开分析），以及考点简单
	通过LPS导入，选择日志格式为IIS即可，IIS日志记录特点：根据日期进行记录
2、Tomcat
	常见日志存放位置：安装目录/logs/
    访问日志开头：localhost_access_log.年-月-日.
	通过ps -ef找到可能的安装目录
3、apache
	日志存放位置：/var/log/apache2
	重点关注：access.log
4、Nginx
	日志存放位置：/var/log/nginx
	重点关注：access.log