8.7.1-4 Linux記錄使用者登入資訊檔案

• Linux系統登入連線日誌的檔案有/var/run/utmp, /var/log/wtmp,/var/log/btmp這3個重要檔案，這些檔案不能使用編輯器開啟，可以使用strins命令檢視部分資訊
• /var/run/utmp 記錄當前正在登入系統的使用者資訊
• /var/log/wtmp 記錄當前正在登入系統和歷史登入系統的使用者資訊，包括關機，重啟日誌也記錄在wtmp檔案中，通常使用last，lastb命令進行讀取，最後一次登入檔案可用lastlog命令
• /var/log/btmp btmp記錄失敗的登入嘗試資訊，一般使用lastb命令可以讀取檢視，也可以使用last -f /var/log/btmp命令檢視
• 常用的命令

• last -n 5 -a -i   顯示前5行的登入資訊，並顯示IP地址且將IP地址顯示在最後一行
  last -n 8 -f /var/log/btmp  顯示遠端SSH登入的詳細資訊
  last -F   顯示完整的登入登出資訊
  last -x   列出帶系統關機，重啟等資訊

• 實際操作的過程中，可以將目標淪陷的主機上的日誌檔案wtmp,btmp拷貝到本地重新改個名字(不要跟原來一樣)，然後使用last -f /var/log/wtmp8 等操作
• 登入使用者統計資訊

• last | awk '{shit[$3]++} {for (a in shit) print s[a],a}' | sort
   
   | uniq | sort -h

• 檢視系統最後登入的使用者情況
• lastlog
• 清除使用者最後登入的日誌lastlog -C -u bmfx
• ac命令統計使用者連線時間

8.7.5 w,who,users命令

• w命令：可以檢視當前登入系統的使用者資訊及使用者當前的程序，w的資訊來自兩個檔案，/var/run/utmp（使用者登入資訊) 和/proc/(程序資訊)
• 常用案例
• w查詢顯示有哪些使用者登入
• w -f 查詢顯示有哪些使用者登入，但是不顯示使用者從什麼地方登入的系統資訊
• w bmfx 查詢使用者bmfx的登入情況
• who命令：顯示當前登入系統的使用者資訊，執行了這個命令就知道當前系統有哪些使用者登入了
• 具體看如下操作示例：
• users命令：顯示當前正在登入的系統使用者名稱

8.7.6 utmpdump命令

• utmpdump命令是來自sysvinit-tools包，一般可以用於轉儲二進位制日誌檔案到文字格式的檔案這是為了方便排查，預設情況下這工具是預裝在Centos6和Centos7，同時此工具還可以修改二進位制檔案，其中就包括了/var/run/utmp,/var/log/wtmp/,/var/log/btmp/這些檔案，修改了這些檔案就是修改了系統記錄，所以這裡的許可權要控制好。
• 常用命令
• utmpdump /var/run/utmp
• utmpdump /var/log/wtmp
• utmpdump /var/log/btmp
• 具體演示記錄
• 使用utmpdump修改日誌偽造，修改utmp或wtmp檔案
• 將utmp或者wtmp內容輸出為文字格式，並修改文字輸出內容，然後將修改好的內容匯入二進位制日誌中
• 匯出utmp檔案
• utmpdump /var/run/utmp > utmp_output.txt
• 使用vim編輯器修改檔案utmp_output.txt
• 重新 匯入到檔案/var/run/utmp
• utmpdump -r utmp_output.txt > /var/run/utmp
• 看如下演示

8.7.7 取證思路

• 使用Windows的PE盤，Kali啟動盤，複製系統檔案/var/log/btmp, /var/log/wtmp, /run/utmp , /var/log/lastlog

8.7.8 記錄Linux使用者的所有操作指令碼，這個一般在配置檔案/etc/profile檔案的末尾新增以下程式碼即可

• PS1="`whoami`@`hostname`:"'[$PWD]'
  history
  USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
  if [ "$USER_IP" = "" ]
  then
  USER_IP=`hostname`
  fi
  if [ ! -d /tmp/history ]
  then
  mkdir /tmp/history
  chmod 777 /tmp/history
  fi
  if [ ! -d /tmp/history/${LOGNAME} ]
  then
  mkdir /tmp/history/${LOGNAME}
  chmod 300 /tmp/history/${LOGNAME}
  fi
  export HISTSIZE=4096
  DT=`date +"%Y%m%d_%H%M%S"`
  export HISTFILE="/tmp/history/${LOGNAME}/${USER_IP} history.$DT"
  chmod 600 /tmp/history/${LOGNAME}/*history* 2>/dev/null

  轉：https://blog.51cto.com/cuimk/1259414

• 初始化/var/log/history
• mkdir /var/log/history
• 先看看/home有多少個使用者，然後就建立多少個使用者並授權即可
• mkdir /var/log/history/bmfx
• chown bmfx:bmfx bmfx -R
• 然後到對應的目錄下檢視即可