wazuh初探系列二 :Wazuh功能初步探知

news2024/12/26 16:18:28

目录

介绍

主动响应:

监控日志

"bin"目录用途:

告警信息:

etc 目录中包含了以下主要的配置文件:

ruleset:自带规则库,建议不改

rules目录:

解码器:

登录日志格式:

日志信息:

解码器解码后进入规则匹配部分:

查看规则

初步感知

1、找到ssh登录日志

2、进入解码器寻找匹配的解码值

查看ssh登录对于解码值​​​​​​​

查看0095解码值:

查看ssh解码器如何解码:

3、实时监控日志在/logs/alerts下

4、基于cmd ssh到这台服务器上,输入错误密码

监控端同步监控显示登录密码输入错误失败

(1)查询5557的含义:

(2)查询0085规则

(3)查询解码器规则——unix_chkpwd

寻找0035:

查看5557规则是否以unix_chkpwd开头:

查询日志信息:

查看安全日志:

失败登录日志:

(4)寻找pam解码器:

wazuh第二条匹配规则:

总结:wazuh登录匹配过程

多次登录失败会触发暴力破解

Wazuh配置文件解析:

linux检测后门:

linux后门:

测试:建立一个mclinZokhb文件夹


介绍

服务器端安装了wazuh的服务后,服务自动就会采集本台服务器上的信息,服务器上不需要再装agent 默认目录为:

cd /var/ossec/

主动响应:

active-response:响应的脚本

[root@wazuh-server ossec]# cd active-response

[root@wazuh-server active-response]# ls -al

监控日志

[root@wazuh-server ossec]# cd etc/

[root@wazuh-server etc]# vim ossec.conf

"bin"目录用途:

"bin"目录中包含了许多用于执行不同功能的命令行工具和可执行文件。这些工具和文件可以用于操作、管理和扩展Wazuh,包括以下常见的用途:

agent-auth:用于生成Wazuh代理的身份验证密钥,以便将代理注册到Wazuh服务器。

​ manage_agents:用于管理Wazuh代理,包括添加、删除、启用、禁用代理等操作。

logtest:用于测试和验证Wazuh规则对于特定日志的匹配情况。

ossec-control:用于控制与Wazuh相关的服务和进程,如启动、停止、重启Wazuh服务器和客户端代理等。

ossec-logcollector、ossec-remoted、ossec-analysisd等:这些工具是Wazuh的核心组件,用于日志收集、远程通信和事件分析等功能。

脚本:

[root@wazuh-server active-response]# cd bin/

[root@wazuh-server bin]# ls -al 

告警信息:

log:日志,预警核心

[root@wazuh-server ossec]# cd logs/

以下两个目录记录了何时、触发了哪些规则

/var/ossec/logs/alerts/alerts.json:json格式的预警信息,用于分析展示

/var/ossec/logs/alerts/alerts.log:适用于直接查看xxxxxxxxxx 以下两个目录记录了何时、触发了哪些规则

/var/ossec/logs/alerts/alerts.json:json格式的预警信息,用于分析展示

/var/ossec/logs/alerts/alerts.log:适用于直接查看告警信息最终在这个文件夹中:

在wazuh中,告警信息在这里:

etc 目录中包含了以下主要的配置文件:

1. ossec.conf:这是Wazuh的主要配置文件,定义了Wazuh代理的行为和设置,包括与各种日志源的集成、警报级别、远程通信设置等。

2. internal_options.conf:该文件包含了设置Wazuh的内部选项和行为的配置信息,用于配置Wazuh的内部操作、处理规则和事件转发等。

3. decoders、rules、lists目录:这些目录包含了Wazuh规则、解码器和列表的配置文件,用于定义Wazuh如何解析和处理不同类型的日志和事件。 ​

4. "etc" 目录存储了Wazuh的配置文件,使系统管理员可以在安装中进行必要的设置和自定义,以满足特定的安全监测和威胁检测需求。

ruleset:自带规则库,建议不改

rules目录:

rules目录是用于存储安全规则文件的目录,定义了Wazuh如何监控和响应不同类型的安全事件

 agentless:无代理安装,即用户名密码

解码器:

[root@wazuh-server ruleset]# cd decoders/

[root@wazuh-server decoders]# ls -al

[root@wazuh-server decoders]# grep -r -i "sshd"

登录日志格式:

[root@wazuh-server decoders]# vim 0310-ssh_decoders.xml

日志信息:

[root@wazuh-server ~]# cd /var/log

[root@wazuh-server log]# cat secure

解码器解码后进入规则匹配部分:

[root@wazuh-server ossec]# cd ruleset/

[root@wazuh-server ruleset]# cd rules/

查看规则

以0095为例:进入解码值寻找对应值

[root@wazuh-server etc]# cd ../ruleset/rules/

[root@wazuh-server rules]# ls -al

[root@wazuh-servet rules]# vim 0095-sshd_rules.xml

在wazuh对应的监控警告值为:

初步感知

hids基于主机的ids,所以监控的都是主机上的各种信息,文件夹或者命令执行结果等,看核心配置中的目录监控,可以看到监控了登录日志

1、找到ssh登录日志

[root@wazuh-server ~]# cd /var/ossec/

[root@wazuh-server ossec]# cd ets/

-bash: cd: ets/: No such file or directory

[root@wazuh-server ossec]# cd etc/

[root@wazuh-server etc]# vim occess.conf

2、进入解码器寻找匹配的解码值

查看ssh登录对于解码值

[root@wazuh-server ~]# cd /var/ossec/ruleset/rules

查看0095解码值:

[root@wazuh-server ossec]# cd ruleset/rules/

[root@wazuh-server rules]# ls -al

[root@wazuh-server rules]# vim 0095-sshd_rules.xml

查看ssh解码器如何解码:

[root@wazuh-server ruleset]# cd decoders/

[root@wazuh-server decoders]# grep -r -i "sshd"

 可见解码是0310:

[root@wazuh-server decoders]# ls -al

登录成功日志:

[root@wazuh-server log]# cat secure

3、实时监控日志在/logs/alerts下

[root@wazuh-server alerts]# tail -f alerts.log

此时已经进入监控状态

4、基于cmd ssh到这台服务器上,输入错误密码

输入三次密码错误自动退出登录:

监控端同步监控显示登录密码输入错误失败

首次触发规则:5557

(1)查询5557的含义:

[root@wazuh-server rules]# find . -type f -name "*.xml" -print0 | xargs -0 grep -r -i "5557"

由此可见规则是0085

(2)查询0085规则

[root@wazuh-server rules]# vim 0085-pam_rules.xml[root@wazuh-server rules]# vim 0085-pam_rules.xml

查询5557:

其中5557对于的父类规则为5556

父类规则5556的解码器——unix_chkpwd

(3)查询解码器规则——unix_chkpwd

[root@wazuh-server ~]# cd /var/ossec/ruleset/decoders/

[root@wazuh-server decoders]# grep -r -i "unix_chkpwd"

寻找0035:

[root@wazuh-server decoders]# vim 0350-unix_decoders.xml

此时监控已触发

查看5557规则是否以unix_chkpwd开头:

查询日志信息:

[root@wazuh-server wazuh-user]# cd /var/log/

[root@wazuh-server log]# ls -al

筛选到安全信息日志:

查看安全日志:

[root@wazuh-server log]# cat secure-20230820

失败登录日志:

(4)寻找pam解码器:

wazuh第二条匹配规则:

[root@wazuh-server decoders]# ls -al | grep pam

总结:wazuh登录匹配过程

  1. wazuh接收到数据后先进行日志分析

  2. 将分析的日志发送到相应的解码器中,通过解码器进行解码

  3. 解码完后发送到相应的规则,把解码完的数据通过规则再次进行匹配

  4. 匹配完成后展示到wazuh Security events日志中

多次登录失败会触发暴力破解

  

Wazuh配置文件解析:

<ossec_config>:这是配置文件的根元素。
​
<global>:在<global>元素下,可以配置与全局设置相关的参数。以下是其中一些重要参数:
​
<jsonout_output>yes</jsonout_output>:允许将输出转换为JSON格式。
​
<alerts_log>yes</alerts_log>:启用将警报记录到alerts.log文件中。
​
<logall>no</logall>:禁止将所有日志记录到数据库。
​
<logall_json>no</logall_json>:禁用将所有日志记录为JSON格式。
​
<email_notification>no</email_notification>:禁用电子邮件通知功能。
​
<smtp_server>smtp.example.wazuh.com</smtp_server>:SMTP服务器地址。
​
<email_from>wazuh@example.wazuh.com</email_from>:电子邮件通知的发件人地址。
​
<email_to>recipient@example.wazuh.com</email_to>:电子邮件通知的收件人地址。
​
<email_maxperhour>12</email_maxperhour>:每小时发送的最大电子邮件通知数量。
​
<email_log_source>alerts.log</email_log_source>:将警报记录到日志文件alerts.log中。
​
<agents_disconnection_time>10m</agents_disconnection_time>:启动计时器以检测代理与Wazuh服务器的连接中断的时间,此处设置为10分钟。
​
<agents_disconnection_alert_time>0</agents_disconnection_alert_time>:如果代理与Wazuh服务器的连接中断超过设置的时间,将发出警报。
​
<alerts>:在<alerts>元素下,可以配置与警报相关的参数。以下是其中两个重要参数:
​
<log_alert_level>3</log_alert_level>:将日志记录的警报级别设置为3(默认为7),表示只记录高级别的警报。
​
<email_alert_level>12</email_alert_level>:设置通过电子邮件发送的警报级别为12(默认为12),表示发送所有级别的警报。
​
<logging>:在<logging>元素下,可以配置日志格式相关的参数。以下是其中一个重要参数:
​
<log_format>plain</log_format>:将内部日志记录格式设置为简单文本格式。

linux检测后门:

[root@wazuh-server ossec]# cd etc/
[root@wazuh-server etc]# ls -al

 

[root@wazuh-server etc]# cd rootcheck/

linux后门:

[root@wazuh-server rootcheck]# vim rootkit_files.txt

测试:建立一个mclinZokhb文件夹

[root@wazuh-server alerts]# cd /tmp/

[root@wazuh-server tmp]# touch mcliZokhb

重启wazuh服务器

[root@wazuh-server tmp]# systemctl restart wazuh-manager

此时,告警信息已检测到:

[root@wazuh-server rootcheck]# vim rootkit_trojans.txt 

检测恶意工具有无被替换——以bin/sh开头的恶意代码

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/914456.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

使用kubeadm方式快速部署一个K8S集群

目录 一、环境准备 二、环境初始化 三、在所有主机上安装相关软件 1、安装docker 2、配置k8s的yum源 3、安装kubelet、kubeadm、kubectl 四、部署Kubernetes Master 五、加入Kubernets Node 六、部署CNI网络插件 七、测试k8s集群 一、环境准备 我的是CentOS7系统&am…

C++Qt堆叠窗体的使用案例

本博文源于笔者最近学习的Qt&#xff0c;内容讲解堆叠窗体QStackedWidget案例&#xff0c;效果是选择左侧列表框中不同的选项时&#xff0c;右侧显示所选的不同的窗体。 案例效果 案例书写过程 控件都是动态创建的&#xff0c;因此.h文件需要创建控件&#xff0c;.cpp书写业务…

Android NDK JNI与Java的相互调用

一、Jni调用Java代码 jni可以调用java中的方法和java中的成员变量,因此JNIEnv定义了一系列的方法来帮助我们调用java的方法和成员变量。 以上就是jni调用java类的大部分方法,如果是静态的成员变量和静态方法,可以使用***GetStaticMethodID、CallStaticObjectMethod等***。就…

[SpringBoot3]Web服务

五、Web服务 基于浏览器的B/S结构应用十分流行。SpringBoot非常适合Web应用开发&#xff0c;可以使用嵌入式Tomcat、Jetty、Undertow或Netty创建一个自包含的HTTP服务器。一个SpringBoot的Web应用能够自己独立运行&#xff0c;不依赖需要安装的Tomcat、Jetty等。SpringBoot可以…

如何在Windows、Mac和Linux操作系统上安装Protocol Buffers(protobuf)编译器

&#x1f337;&#x1f341; 博主猫头虎 带您 Go to New World.✨&#x1f341; &#x1f984; 博客首页——猫头虎的博客&#x1f390; &#x1f433;《面试题大全专栏》 文章图文并茂&#x1f995;生动形象&#x1f996;简单易学&#xff01;欢迎大家来踩踩~&#x1f33a; &a…

TLSv1.2抓包解密分析过程之RSA_WITH_AES_128_CBC_SHA

RSA_WITH_AES_128_CBC_SHA是TLSv1.2中最简单的加密协议了&#xff0c;非常适合用于学习TLSv1.2的握手过程。 RSA_WITH_AES_128_CBC_SHA表示 使用RSA非对称加密进行密钥协商使用AES128 CBC模式加密Hash算法使用SHA-1 参考文档&#xff1a;rfc5246 rfc5077 rfc7627 1. t…

Kyligence Copilot 登陆海外,斩获 Product Hunt 日榜 TOP 2

8月14日&#xff0c;AI 数智助理 Kyligence Copilot 在全球知名科技产品平台 Product Hunt 上线&#xff0c;其以出色的产品创新实力&#xff0c;在激烈的竞争中脱颖而出&#xff0c;仅仅在 24 小时内收获了超过 400 个投票和近 200 条支持评论&#xff0c;荣登当日产品榜排名第…

Microsoft正在将Python引入Excel

Excel和Python这两个世界正在碰撞&#xff0c;这要归功于Microsoft的新集成&#xff0c;以促进数据分析和可视化 Microsoft正在将流行的编程语言Python引入Excel。该功能的公共预览版现已推出&#xff0c;允许Excel用户操作和分析来自Python的数据。 “您可以使用 Python 绘图…

远程端口转发 实践 如何将物理机某一端口的服务转发到vps上,使得外网能访问到

以本机1470端口&#xff08;我的sqli-labs&#xff09;与vps的9023端口为例。 SSH基本的连接命令是&#xff1a; ssh usernamehostname这里牵扯到了两台主机&#xff0c;一是执行命令、运行SSH客户端的主机&#xff0c;我们称为本地主机A【Host A】&#xff1b;二是接收连接请…

记录某一次演讲

大家好&#xff0c;我是繁依&#xff0c;是一名软件工程的学生。很高兴能站在这里&#xff0c;与大家分享一下自己日常数据分析学习的经验。首先&#xff0c;我先来介绍一下自己常用的学习资源和工具&#xff0c;学习平台及资源有哔哩哔哩、掘金小册、和鲸社区、飞桨社区等 常…

ECharts配合Node.js爬虫实现数据可视化

数据可视化简介 可视化技术是将数据和信息以图形化的方式展示出来&#xff0c;以便更好地理解和分析。可视化技术通常使用各种图表、图形、动画和交互式效果来呈现数据。可视化技术有以下几个基本概念&#xff1a; 数据&#xff1a;可视化技术的基础是数据。数据可以是数字、文…

使用Kind搭建本地k8s集群环境

目录 1.前提条件 2.安装Kind 3.使用Kind创建一个K8s集群 3.1.创建一个双节点集群&#xff08;一个Master节点&#xff0c;一个Worker节点&#xff09; 3.2.验证一下新创建的集群信息 3.3.删除刚刚新建的集群 4.安装集群客户端 4.1.安装kubectl 4.1.1.验证kubectl 4.2.安…

工法到底是什么?

关于工法许多人都是感到陌生的&#xff0c;第一次接触会想&#xff0c;工法是建筑工法还是农业工法呢&#xff1f;其实都不是的。百度百科给的解释是&#xff1a;工法一词来自日本&#xff0c;日本《国语大辞典》将工法释为工艺方法和工程方法。在中国&#xff0c;工法是指以工…

ElementUI Table 翻页缓存数据

Element UI Table 翻页保存之前的数据,网上找了一些,大部分都是用**:row-key** 和 reserve-selection,但是我觉得有bug,我明明翻页了…但是全选的的个框还是勾着的(可能是使用方法不对,要是有好使的…请cute我一下…感谢) 所以自己写了一个… 思路: 手动勾选的时候,将数据保存…

JDK 核心jar之 rt.jar

一、JDK目录展示 二、rt.jar 简介 2.1.JAR释义 在软件领域&#xff0c;JAR文件&#xff08;Java归档&#xff0c;英语&#xff1a;Java Archive&#xff09;是一种软件包文件格式&#xff0c;通常用于聚合大量的Java类文件、相关的元数据和资源&#xff08;文本、图片等&…

通过python在unity里调用C#接口

log: 背景 最近在做虚拟人底层驱动sdk测试&#xff0c;因为后端使用的是C#,我个人更倾向于python编程辅助测试工作&#xff0c;测试sdk需要通过开发提供的接口方法文档&#xff0c;通过传测试场景参数调用方法进行单元测试 技术&工具 项目语言 C# 项目工具 unity 测试…

Aspose.Tasks for .NET V23Crack

Aspose.Tasks for .NET V23Crack 改进了大型项目的内存占用。 添加了API&#xff0c;允许您在应用程序无法访问系统字体文件夹时指定用户的字体文件夹。 Aspose.Tasksfor.NET是处理MicrosoftProject文件的可靠的项目管理API。API支持在不依赖Microsoft Project的情况下读取、写…

CAM实现的流程--基于Pytorch实现

CAM实现的流程 CAM类激活映射CAM是什么CAM与CNN CAM类激活映射 CAM是什么 可视化CNN的工具&#xff0c; CAM解释网络特征变化&#xff0c;CAM使得弱监督学习发展成为可能&#xff0c;可以慢慢减少对人工标注的依赖&#xff0c;能降低网络训练的成本。通过可视化&#xff0c;就…

HTML 和 CSS 来实现毛玻璃效果(Glassmorphism)

毛玻璃效果简介 它的主要特征就是半透明的背景&#xff0c;以及阴影和边框。 同时还要为背景加上模糊效果&#xff0c;使得背景之后的元素根据自身内容产生漂亮的“变形”效果&#xff0c;示例&#xff1a; 代码实现 首先&#xff0c;创建一个 HTML 文件&#xff0c;写入如下…

cuda编程day001

一、环境&#xff1a; ①、linux cuda-11.3 opecv4.8.0 不知道头文件和库文件路径&#xff0c;用命令查找&#xff1a; # find /usr/local -name cuda.h 2>/dev/null # 查询cuda头文件路径 /usr/local/cuda-11.3/targets/x86_64-linux/include/cuda.h # find /usr/…