lastlog

記錄使用者最後一次登入情況

只有root最近登入過

lastlog -u 使用者名稱或者uid

uid 直接在passwd檔案中的低三位可以看到

lastb

記錄使用者使用者登入失敗的使用者記錄，包括使用者名稱ip。檔案位於/var/log/btmp

lastb |sort -n | uniq -c | sort -n -r | head -6

這個可以直接按照次數排列出來，統計爆破ssh的ip次數前六位

如果想直接統計ip的話,下面倆個命令都可以

lastb |awk '{ print $3}'|sort -n | uniq -c | sort -n -r | head -6
lastb |awk -F " " '{ print $3}'|sort -n | uniq -c | sort -n -r | head -6
-F表示用什麼分割
 

統計爆破使用者名稱

lastb |awk  '{ print $1}'|sort -n | uniq -c | sort -n -r |awk  '{ print $2}'

last

記錄登入使用者的資訊，儲存在/var/log/wtmp檔案中
查詢所有登入使用者名稱出現的次數

last|awk '{print $1}'|sort -n|uniq -c|sort -n -r

統計使用者登入的ip次數

last|awk '{print $3}'|sort -n | uniq -c | sort -n -r

awk和真好用哈哈

登入日誌看完了 看一下apache日誌。任務計劃和其他暫時先不看

access log 分析

查詢某個檔案多少行

echo $(sed -n '$=' access_log-20200705 )

顯示前200行

head access_log-20200705 -n 200

我們以其中一條帶masscan特徵的請求進行分析

209.97.190.223 - - [28/Jun/2020:08:06:40 +0800] "GET / HTTP/1.0" 403 4897 "-" "masscan/1.0 (https://github.com/robertdavidgraham/masscan)"

查一下 帶有masscan且響應狀態碼為403的。

cat access_log-20200705|grep "HTTP/1.0\" 403.*masscan" -i
 

-i表示不分大小寫

按照上面的可以直接寫出統計掃描ip的命令

cat access_log-20200705|grep "HTTP/1.0\" 403.*masscan" -i|awk '{print $1}'

加上次數

cat access_log-20200705|grep "HTTP/1.0\" 403.*masscan" -i|awk '{print $1}'|sort -n | uniq -c | sort -n -r

grep 是個好東西