第一章 应急响应-Linux日志分析

第一章 应急响应-Linux日志分析

平台链接:https://xj.edisec.net/challenges/

简介

账号root密码linuxrz
ssh root@IP
1.有多少IP在爆破主机ssh的root帐号，如果有多个使用","分割
2.ssh爆破成功登陆的IP是多少，如果有多个使用","分割
3.爆破用户名字典是什么？如果有多个使用","分割
4.登陆成功的IP共爆破了多少次
5.黑客登陆主机后新建了一个后门用户，用户名是多少

解题过程

1、有多少IP在爆破主机ssh的root帐号

先进入到/var/log目录当中查看日志信息，因为liunx当中的日志文件存放在/var/log中

在命令行中输入

cat auth.log.1 | grep -a "Failed password for root"

“cat”是查看一个文件的命令，

“|”是指同时执行后面接着的命令

“grep”是全面搜索正则表达式并把行打印出来，是一种强大的文本搜索工具，它能使用正则表达式搜索文本，并把匹配的行打印出来。用于过滤/搜索的特定字符。可使用正则表达式能配合多种命令使用，使用上十分灵活。

“-a”指的是不忽