应急响应笔记(Linux)
A、日志分析
1、除root之外,是否还有其它特权用户(uid 为0)awk -F: '$3==0{print $1}' /etc/passwd
2、可以远程登录的帐号信息
awk '/\$1|\$6/{print $1}' /etc/shadow
3、查看登录失败信息
grep -o "Failed password" /var/log/secure|uniq -c
4、输出登录**的第一行和最后一行,确认**时间范围
grep "Failed password" /var/log/secure|head -1
grep "Failed password" /var/log/secure|tail -1
grep "Failed password" /var/log/secure|tail -1
5、显示登陆失败的用户
6、**用户名字典都有哪些?
grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr
uniq -c 显示出现的次数
sort -nr 整体排序
7、登录成功的日期、用户名、IP
grep "Accepted" /var/log/secure | awk '{print $1,$2,$3,$9,$11}'
8、统计一下登录成功的IP有哪些
grep "Accepted" /var/log/secure | awk '{print $11}' | sort | uniq -c |sort -nr | more
9、除root帐号外,其他帐号是否存在sudo权限。如非管理需要,普通帐号应删除sudo权限
more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"
10、禁用或删除多余及可疑的帐号usemod
usermod -L user 禁用帐号,帐号无法登录,/etc/shadow第二栏为!开头
userdel user 删除user用户
userdel -r user 将删除user用户,并且将/home目录下的user目录一并删除
/etc/passwd 下修改/bin/bash为/bin/nologin禁止账号登录