一次Linux安全实战训练营直播课笔记（二）应急响应

分析和排查有谁入侵过我的系统：
查看日志
查看用密码登录，登录失败了的用户名，爆破字典用户名
grep "Failed password" /var/log/secure|perl -e 'while($_=<>){/for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr
查找爆破root用户登录错误的ip
grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c|sort -nr | more
有多少ip在攻击我的机器
grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9] [0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-91[0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c
有多少人成功登录过，有自己的
grep "Accepted" /var/log/secure | awk '{print $11}' | sort | uniq -c|sort -nr | more

分析历史命令
用history查看有谁执行过我没有执行过的命令

查看有没有添加过用户，放进去一些看不懂的公钥
 cat /etc/passwd
 
 查看定时任务 有没有不是我的定时任务
 crontab -l
 
 ssh的后门,查看authorized_keys里面有没放进去一些公钥我不认识的
 cd /root/.ssh
 cat authorized_keys