應急溯源SSH日誌檢視小技巧
阿新 • • 發佈:2020-09-14
正常登陸 Linux 以下幾個位置記錄相關日誌:
SSH登入操作相關的日誌有以下幾個位置:
-
/var/log/btmp,記錄錯誤的登入嘗試,查詢命令:lastb /var/log/auth.log,記錄認證成功的使用者 /var/log/secure,記錄與安全相關的日誌資訊 /var/log/lastlog,記錄使用者上次登入資訊 /var/log/wtmp,記錄當前和曾經登入系統的使用者資訊,查詢命令:last /var/run/utmp,記錄當前正在登入系統的使用者資訊,查詢命令:w ~/.bash_history,記錄從最開始至上一次登入所執行過的命令,查詢命令:history
無法直接檢視的需要通過:strings /var/log/wtmp
正常日誌溯源的時候 執行
ps -aux|grep sshd
正常登陸 putty
-
sshd:root@pts/0
-
使用sftp、rsyn、scp等協議進行登入
-
sshd:root@notty
使用notty,能夠繞過以下日誌: /var/log/lastlog,記錄使用者上次登入資訊 /var/log/wtmp,記錄當前和曾經登入系統的使用者資訊,查詢命令:last /var/run/utmp,記錄當前正在登入系統的使用者資訊,查詢命令:w ~/.bash_history,記錄從最開始至上一次登入所執行過的命令,查詢命令:history
防禦關注點
檢視錯誤的登入嘗試,查詢命令:lastb,檔案位置/var/log/btmp 檢視認證成功的使用者,檔案位置/var/log/auth.log 檢視tcp連線,檢視命令:netstat -vatn