ftp日志分析

ftp日志分析

作者 应急响应

Linux下vsftpd是ftp服务最常用的组件,本文件主要介绍如何开启ftp的日志,在应急响应过程中如何快速排查相关日志文件。

安装ftp服务

yum -y install vsftpd ftp

vsftpd 是服务端,ftp是客户端连接工具。

ftp 日志位置

  • /var/log/xferlog 文件传输日志 (默认开启)
  • /var/log/vsftpd.log 连接日志 (默认未开启)

开启vsftpd.log

配置文件路径:/etc/vsftpd/vsftpd.conf

由于vsftpd.log默认未开启,需要我们手动修改配置文件,加上下面的参数。

xferlog_enable=YES
xferlog_std_format=YES 
xferlog_file=/var/log/xferlog   
dual_log_enable=YES 
vsftpd_log_file=/var/log/vsftpd.log

xferlog_enable=YES,表明FTP服务器记录上传下载的情况,而将xferlog_std_format也设置为YES,则表明将记录的上传下载情况写在xferlog_file所指定的文件中,即/var/log/xferlog文件。

dual_log_enable=YES,表明启用了双份日志,/var/log/vsftpd.log 会记录ftp客户端的连接ip。

systemctl restart vsftpd

重启vsftpd生效,连接本地的ftp server,此时会生成 /var/log/vsftpd.log 日志文件。

新建ftp用户

默认ftp是读取 /etc/passwd 中的用户信息,当也可以自建ftp虚拟用户。

useradd ftp-test
echo "ftp-test:ftp-test" |chpasswd

分析ftp日志

对于ftp日志的分析直接用awk提取即可。

Post Views: 99
赞赏

微信赞赏支付宝赞赏
Zgao

愿有一日,安全圈的师傅们都能用上Zgao写的工具。

发表评论