- 博客(3)
- 收藏
- 关注
RSS订阅原创 Wazuh检测反弹shell
Wazuh通过在agent服务器上执行指定的命令,并收集命令结果,可以在一定程度上发现反弹shell的入侵行为。目前有2中常见的检测方法,一种是通过netstat输出网络连接中的shell进程来识别,另一种是通过ps输出进程信息中的反弹shell命令特征来识别。1. 在agent的/var/ossec/etc/ossec.conf文件末尾增加自定义的命令,并重启<ossec_c...
2019-11-18 17:51:41
1922
2
原创 Wazuh自定义规则
Wazuh会产生很多不必要的报警信息,通过Wazuh-manager端的/var/ossec/etc/rules/local_rules.xml可以增加一些规则来改变默认规则的行为,从而过滤不希望看到的告警。<!-- Local rules --><!-- Modify it at your will. --><!-- Copyright (C) 2015-...
2019-11-18 16:54:20
2310
1
原创 Wazuh的rootkit扫描性能优化
由于Wazuh在进行rootkit扫描时,对磁盘占用比较高,如果服务器上文件过多,需要的时间也很长,可能会对业务产生影响,将不需要扫描的文件类型和目录加入白名单,可以大大降低rootkit扫描对磁盘性能的影响。 <rootcheck> <ignore type="sregex">.log$|.log.|.swp$|.out$|.gz$|.gz2$|.bz$|.bz...
2019-11-18 16:45:42
659
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人