专业建站源码,升级wordpress5.0,上海建设工程咨询公司,从零开始学做网站 网站目录 介绍
主动响应#xff1a;
监控日志
bin目录用途#xff1a;
告警信息#xff1a;
etc 目录中包含了以下主要的配置文件#xff1a;
ruleset#xff1a;自带规则库#xff0c;建议不改
rules目录:
解码器#xff1a;
登录日志格式#xff1a…目录 介绍
主动响应
监控日志
bin目录用途
告警信息
etc 目录中包含了以下主要的配置文件
ruleset自带规则库建议不改
rules目录:
解码器
登录日志格式
日志信息
解码器解码后进入规则匹配部分
查看规则
初步感知
1、找到ssh登录日志
2、进入解码器寻找匹配的解码值
查看ssh登录对于解码值
查看0095解码值
查看ssh解码器如何解码
3、实时监控日志在/logs/alerts下
4、基于cmd ssh到这台服务器上输入错误密码
监控端同步监控显示登录密码输入错误失败
1查询5557的含义
2查询0085规则
3查询解码器规则——unix_chkpwd
寻找0035
查看5557规则是否以unix_chkpwd开头
查询日志信息
查看安全日志
失败登录日志
4寻找pam解码器
wazuh第二条匹配规则
总结wazuh登录匹配过程
多次登录失败会触发暴力破解
Wazuh配置文件解析
linux检测后门
linux后门
测试建立一个mclinZokhb文件夹 介绍 服务器端安装了wazuh的服务后服务自动就会采集本台服务器上的信息服务器上不需要再装agent 默认目录为 cd /var/ossec/ 主动响应 active-response响应的脚本 [rootwazuh-server ossec]# cd active-response [rootwazuh-server active-response]# ls -al 监控日志 [rootwazuh-server ossec]# cd etc/ [rootwazuh-server etc]# vim ossec.conf bin目录用途 bin目录中包含了许多用于执行不同功能的命令行工具和可执行文件。这些工具和文件可以用于操作、管理和扩展Wazuh包括以下常见的用途 agent-auth用于生成Wazuh代理的身份验证密钥以便将代理注册到Wazuh服务器。 manage_agents用于管理Wazuh代理包括添加、删除、启用、禁用代理等操作。 logtest用于测试和验证Wazuh规则对于特定日志的匹配情况。 ossec-control用于控制与Wazuh相关的服务和进程如启动、停止、重启Wazuh服务器和客户端代理等。 ossec-logcollector、ossec-remoted、ossec-analysisd等这些工具是Wazuh的核心组件用于日志收集、远程通信和事件分析等功能。 脚本 [rootwazuh-server active-response]# cd bin/ [rootwazuh-server bin]# ls -al 告警信息 log日志预警核心 [rootwazuh-server ossec]# cd logs/ 以下两个目录记录了何时、触发了哪些规则 /var/ossec/logs/alerts/alerts.jsonjson格式的预警信息用于分析展示 /var/ossec/logs/alerts/alerts.log适用于直接查看xxxxxxxxxx 以下两个目录记录了何时、触发了哪些规则 /var/ossec/logs/alerts/alerts.jsonjson格式的预警信息用于分析展示 /var/ossec/logs/alerts/alerts.log适用于直接查看告警信息最终在这个文件夹中 在wazuh中告警信息在这里 etc 目录中包含了以下主要的配置文件 1. ossec.conf这是Wazuh的主要配置文件定义了Wazuh代理的行为和设置包括与各种日志源的集成、警报级别、远程通信设置等。 2. internal_options.conf该文件包含了设置Wazuh的内部选项和行为的配置信息用于配置Wazuh的内部操作、处理规则和事件转发等。 3. decoders、rules、lists目录这些目录包含了Wazuh规则、解码器和列表的配置文件用于定义Wazuh如何解析和处理不同类型的日志和事件。 4. etc 目录存储了Wazuh的配置文件使系统管理员可以在安装中进行必要的设置和自定义以满足特定的安全监测和威胁检测需求。 ruleset自带规则库建议不改 rules目录:
rules目录是用于存储安全规则文件的目录定义了Wazuh如何监控和响应不同类型的安全事件 agentless无代理安装即用户名密码 解码器 [rootwazuh-server ruleset]# cd decoders/ [rootwazuh-server decoders]# ls -al [rootwazuh-server decoders]# grep -r -i sshd 登录日志格式 [rootwazuh-server decoders]# vim 0310-ssh_decoders.xml 日志信息 [rootwazuh-server ~]# cd /var/log [rootwazuh-server log]# cat secure 解码器解码后进入规则匹配部分 [rootwazuh-server ossec]# cd ruleset/ [rootwazuh-server ruleset]# cd rules/ 查看规则
以0095为例进入解码值寻找对应值 [rootwazuh-server etc]# cd ../ruleset/rules/ [rootwazuh-server rules]# ls -al [rootwazuh-servet rules]# vim 0095-sshd_rules.xml 在wazuh对应的监控警告值为 初步感知
hids基于主机的ids所以监控的都是主机上的各种信息文件夹或者命令执行结果等看核心配置中的目录监控可以看到监控了登录日志
1、找到ssh登录日志 [rootwazuh-server ~]# cd /var/ossec/ [rootwazuh-server ossec]# cd ets/ -bash: cd: ets/: No such file or directory [rootwazuh-server ossec]# cd etc/ [rootwazuh-server etc]# vim occess.conf 2、进入解码器寻找匹配的解码值 查看ssh登录对于解码值 [rootwazuh-server ~]# cd /var/ossec/ruleset/rules 查看0095解码值 [rootwazuh-server ossec]# cd ruleset/rules/ [rootwazuh-server rules]# ls -al [rootwazuh-server rules]# vim 0095-sshd_rules.xml 查看ssh解码器如何解码 [rootwazuh-server ruleset]# cd decoders/ [rootwazuh-server decoders]# grep -r -i sshd 可见解码是0310 [rootwazuh-server decoders]# ls -al 登录成功日志 [rootwazuh-server log]# cat secure 3、实时监控日志在/logs/alerts下 [rootwazuh-server alerts]# tail -f alerts.log 此时已经进入监控状态 4、基于cmd ssh到这台服务器上输入错误密码
输入三次密码错误自动退出登录 监控端同步监控显示登录密码输入错误失败
首次触发规则5557 1查询5557的含义 [rootwazuh-server rules]# find . -type f -name *.xml -print0 | xargs -0 grep -r -i 5557 由此可见规则是0085
2查询0085规则 [rootwazuh-server rules]# vim 0085-pam_rules.xml[rootwazuh-server rules]# vim 0085-pam_rules.xml 查询5557 其中5557对于的父类规则为5556 父类规则5556的解码器——unix_chkpwd 3查询解码器规则——unix_chkpwd [rootwazuh-server ~]# cd /var/ossec/ruleset/decoders/ [rootwazuh-server decoders]# grep -r -i unix_chkpwd 寻找0035 [rootwazuh-server decoders]# vim 0350-unix_decoders.xml 此时监控已触发 查看5557规则是否以unix_chkpwd开头
查询日志信息 [rootwazuh-server wazuh-user]# cd /var/log/ [rootwazuh-server log]# ls -al 筛选到安全信息日志 查看安全日志 [rootwazuh-server log]# cat secure-20230820 失败登录日志 4寻找pam解码器
wazuh第二条匹配规则 [rootwazuh-server decoders]# ls -al | grep pam 总结wazuh登录匹配过程 wazuh接收到数据后先进行日志分析 将分析的日志发送到相应的解码器中通过解码器进行解码 解码完后发送到相应的规则把解码完的数据通过规则再次进行匹配 匹配完成后展示到wazuh Security events日志中
多次登录失败会触发暴力破解 Wazuh配置文件解析 ossec_config这是配置文件的根元素。
global在global元素下可以配置与全局设置相关的参数。以下是其中一些重要参数
jsonout_outputyes/jsonout_output允许将输出转换为JSON格式。
alerts_logyes/alerts_log启用将警报记录到alerts.log文件中。
logallno/logall禁止将所有日志记录到数据库。
logall_jsonno/logall_json禁用将所有日志记录为JSON格式。
email_notificationno/email_notification禁用电子邮件通知功能。
smtp_serversmtp.example.wazuh.com/smtp_serverSMTP服务器地址。
email_fromwazuhexample.wazuh.com/email_from电子邮件通知的发件人地址。
email_torecipientexample.wazuh.com/email_to电子邮件通知的收件人地址。
email_maxperhour12/email_maxperhour每小时发送的最大电子邮件通知数量。
email_log_sourcealerts.log/email_log_source将警报记录到日志文件alerts.log中。
agents_disconnection_time10m/agents_disconnection_time启动计时器以检测代理与Wazuh服务器的连接中断的时间此处设置为10分钟。
agents_disconnection_alert_time0/agents_disconnection_alert_time如果代理与Wazuh服务器的连接中断超过设置的时间将发出警报。
alerts在alerts元素下可以配置与警报相关的参数。以下是其中两个重要参数
log_alert_level3/log_alert_level将日志记录的警报级别设置为3默认为7表示只记录高级别的警报。
email_alert_level12/email_alert_level设置通过电子邮件发送的警报级别为12默认为12表示发送所有级别的警报。
logging在logging元素下可以配置日志格式相关的参数。以下是其中一个重要参数
log_formatplain/log_format将内部日志记录格式设置为简单文本格式。linux检测后门 [rootwazuh-server ossec]# cd etc/
[rootwazuh-server etc]# ls -al [rootwazuh-server etc]# cd rootcheck/ linux后门 [rootwazuh-server rootcheck]# vim rootkit_files.txt 测试建立一个mclinZokhb文件夹 [rootwazuh-server alerts]# cd /tmp/ [rootwazuh-server tmp]# touch mcliZokhb 重启wazuh服务器 [rootwazuh-server tmp]# systemctl restart wazuh-manager 此时告警信息已检测到 [rootwazuh-server rootcheck]# vim rootkit_trojans.txt 检测恶意工具有无被替换——以bin/sh开头的恶意代码
