• Co jsme dnes dělali
  • Nastavení přístupu do Gitu
  • Práce s příkazovou řádkou
  • Práce s textovými soubory
  • Hledáme útočníka

Co jsme dnes dělali

• Připojení na server pomocí protokolu SSH
  • Program PuTTY
  • Zadejte IP adresu 178.248.248.66, port ponechte 22
  • Server vás vyzve k zadání uživatelského jména a hesla. Použijte heslo, které jste dostali na hodině.
  • Heslo můžete změnit pomocí příkazu passwd, prosím, pokud tak uděláte, dodržujte zásady silných hesel

Nastavení přístupu do Gitu

1. Vygenerujte SSH klíč pomocí ssh-keygen -t ed25519 -C "vaše_emailová_adresa"
2. Zkopírujte VEŘEJNOU část klíče pomocí cat ~/.ssh/id_ed25519.pub
3. Přidejte tento klíč do svého GitHub účtu v nastavení SSH (https://gitlab.com/-/user_settings/ssh_keys)
4. Jděte do vašeho repozitáře na GitLabu, pro clonování zvolte variantu SSH
5. Na serveru použijte git clone

Práce s příkazovou řádkou

• Po přihlášení se dostanete do prostředí příkazové řádky (říká se mu shell), kde můžete zadávat příkazy.
• Každý příkaz se skládá z názvu a argumentů.
• Např. ls -l, cd muj-adresar, apod.
  • Argumentům začínajícím pomlčkou se říká přepínače (options) a mění chování příkazu. Např. -l u ls zobrazí podrobné informace o souborech.
• Pokud si někdy nevíte, jaký příkaz použít, můžete použít man (manual) pro zobrazení nápovědy. Např. man ls
• Základní příkazy pro práci s Linuxem
  • ls - vypíše obsah aktuálního adresáře
  • cd - změní aktuální adresář
  • pwd - vypíše cestu k aktuálnímu adresáři
  • mkdir - vytvoří nový adresář
• V příkazové řádce můžeme
  • šipkou nahoru procházet historii příkazů
  • šipkou doprava a doleva pro pohyb v aktuálním příkazu
  • Tab pro doplňování názvů souborů, adresářů a příkazů
  • Ctrl + C pro přerušení aktuálního příkazu
  • Ctrl + L pro vyčištění obrazovky

Práce s textovými soubory

• Pro zobrazení obsahu textového souboru můžete použít příkaz cat. Např. cat access.log.
• Pro procházení dlouhých souborů můžete použít less. Tedy cat access.log | less.
  • Pro posouvání použijte šipky, případně j a k.
  • Pro ukončení stiskněte q.
• Ve výše zmíněném příkazu používáme rouru (spíše však říkejme pipe), která umožňuje posílat výstup jednoho příkazu jako vstup do druhého. Výstup z cat access.log se tak stane vstupem pro less.,
• Pro hledání konkrétního textu v souboru můžete použít grep. Např. cat access.log | grep "404" zobrazí pouze řádky obsahující 404.
  • Naopak grep -v "404" zobrazí všechny řádky, které NEobsahují "404".
• Pro zobrazení pouze unikátních řádků můžete použít uniq. Např. cat access.log | grep "404" | uniq zobrazí pouze unikátní řádky obsahující 404.
  • Pro zobrazení pouze unikátních řádků a jejich počtu můžete použít uniq -c.
  • Pozor, uniq funguje pouze na setřízených datech. Je třeba použít sort.
• Data je většinou potřeba nějak zpracovat, abychom s nimi mohli lépe pracovat. Pokud jsou data oddělena nějakým znakem (což většinou bývají), můžeme použít cut pro výběr konkrétních sloupců. Např. cat access.log | cut -d " " -f 1 zobrazí pouze první sloupec (IP adresy) z logu, přičemž jako oddělovač používáme mezery (-d " ").
• Pro zobrazení prvních nebo posledních řádků souboru můžete použít příkaz head, resp. tail. Např. cat access.log | head -n 10 zobrazí prvních 10 řádků, analogicky tail -n 10 zobrazí posledních 10 řádků.

Hledáme útočníka

V repozitáři s materiály pro dnešní lekci najdete soubor access.log. Jedná se o logfile z webového serveru, který obsahuje záznamy o všech požadavcích, které server obdržel.

Nejdřív si udělejte základní přehled. Kolik má soubor řádků? Kolik různých IP adres se připojilo? Jaké jsou nejčastější IP adresy?

Jaké požadavky skončily chybou 404?

Zkontrolujte požadavky, které se snaží dostat na /.env nebo /wp-admin. Toto jsou často cíle útoků, protože obsahují citlivé informace nebo jsou součástí běžných útoků na redakční systém WordPress. Vidíte něco podezřelého?

Také zkontrolujte požadavky na /login. Není jich příliš mnoho? Co to může znamenat?

Svoje nálezy pushněte do svého repozitáře do souboru 18/report.txt.