현우 이
리눅스 계열에서 간단한 로그 확인 명령어.
1. ssh 접속확인
- 해당 아이피 접속 시도
# grep xxx.123.123.xxx secure* | grep -v disconnect | grep -i -v pam | tail
- 해당아이피 접속시도 횟수
# grep xxx.123.123.xxx secure* |wc -l
- 로그인 실패 조회
# grep Failed secure* | wc -l
- 로그인 성공 조회
전체
# cat /var/log/secure* | grep “Accepted”
ID
# cat /var/log/secure* | grep “Accepted”| cut -d ” ” -f9 | sort | uniq -c | sort
IP
# cat /var/log/secure* | grep “Accepted”| cut -d ” ” -f11 | sort | uniq -c | sort
# grep Failed secure* | grep xxx.123.123.xxx
# grep Failed secure* | grep xxx.123.123.xxx | wc -l
2.웹 로그분석
- # grep ‘passwd’ domain.com_access.log
xxx.123.123.xxx – – – [03/May/2024:11:25:11 +0900] “GET /file/file/image/login_passwd.gif HTTP/1.1” 200 1161
xxx.123.123.xxx – – – [03/May/2024:11:31:25 +0900] “GET /file/file/image/login_passwd.gif HTTP/1.1” 200 1161 - # xxd -l 32 /home/file_com/file_html/file/file/image/login_passwd.gif
0000000: 4749 4638 3961 9900 2e00 d500 00b3 b3b3 GIF89a……….
0000010: b8b8 b8dc dcdc 9797 9783 8383 d4db e1e2 …………….
정상적인 gif파일인가 ?
>> 주어진 파일을 살펴본 결과, 파일의 첫 부분에 GIF 파일 포맷의 시그니처인 “GIF89a”가 나타나고 있습니다. 또한, 파일 확장자가 “.gif”로 지정되어 있으므로 이 파일은 GIF 이미지 파일로 보입니다.
- # xxd -l 32 /home/file_com/file_html/file/file/image/membership_passwdsearch_t1.gif
0000000: 4749 4638 3961 6f04 2800 f700 002c 2b2b GIF89ao.(….,++
0000010: 9d9c 9c64 6464 c7c6 c6b4 b4b4 6e6e 6ed5 …ddd……nnn.
>>
제시된 파일의 첫 부분에는 “GIF89a” 시그니처가 아닌 “GIF89ao”와 같은 변형된 문자열이 나타납니다. 또한 파일의 나머지 부분도 GIF 형식에 대한 특정한 구조를 따르지 않습니다.
- # grep ‘<script>’domain.access_ssl.com_access.log
- # grep ‘%2f’ domain.access.log
- # grep ‘%27’ domain.access.log
- #grep -i 500 domain.com_access.log | awk ‘{print $1, $7}’