wazuh初次理解-8-23

最新推荐文章于 2024-07-30 00:40:15 发布
最新推荐文章于 2024-07-30 00:40:15 发布
阅读量406 收藏
点赞数
文章标签: 开发语言 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63596823/article/details/132449469
版权

一、wazuh配置:

1、进入官网下载OVA启动软件:

Virtual Machine (OVA) - Installation alternatives

2、进入虚拟机进行配置:

3、登录提示:

4、将网络连接模式更改为NAT,否则不能上网;

4、重启网络:

service network restart

6 .开启小皮Apache,输入ip进行访问,在Chrome访问,然后登录wazuh,用户名和密码默认为admin

重启wazuh:

systemctl restart wazuh-manager

二、案例复现:

当我们使用本地的cmd通过ssh一直连接wazuh的时候便会出现十级报错,此次在后台可以明显的看到有爆破的提示扫描,通过分析其具体的数据包以及对应的规则理解到wuzuh在外来访问的时候,会触发到解码器,其作用是用来抓取关键信息,其中核心便是正则表达式进行正则匹配,当数据来了之后,wazuh程序会分析我们的日志,把这些日志信息发到相对应的解码器去,通过解码器去进行解码,解码完后,再发送到相应的规则,然后把解码完的数据通过规则,再次进行匹配,最终展示到仪表盘的Modules里的Security events里

在Nginx目录下/var/www/html创建index.php并写入案例:

<?php
function fun($var): bool{
    $blacklist = ["\$_", "eval","copy" ,"assert","usort","include", "require", "$", "^", "~", "-", "%", "*","file","fopen","fwriter","fput","copy","curl","fread","fget","function_exists","dl","putenv","system","exec","shell_exec","passthru","proc_open","proc_close", "proc_get_status","checkdnsrr","getmxrr","getservbyname","getservbyport", "syslog","popen","show_source","highlight_file","`","chmod"];
 
    foreach($blacklist as $blackword){
        if(strstr($var, $blackword)) return True;
    }
 
    
    return False;
}
error_reporting(0);
//设置上传目录
define("UPLOAD_PATH", "./uploads");
$msg = "Upload Success!";
if (isset($_POST['submit'])) {
$temp_file = $_FILES['upload_file']['tmp_name'];
$file_name = $_FILES['upload_file']['name'];
$ext = pathinfo($file_name,PATHINFO_EXTENSION);
if(!preg_match("/php/i", strtolower($ext))){
die("只要好看的php");
}
 
$content = file_get_contents($temp_file);
if(fun($content)){
    die("诶,被我发现了吧");
}
$new_file_name = md5($file_name).".".$ext;
        $img_path = UPLOAD_PATH . '/' . $new_file_name;
 
 
        if (move_uploaded_file($temp_file, $img_path)){
            $is_upload = true;
        } else {
            $msg = 'Upload Failed!';
            die();
        }
        echo '<div style="color:#F00">'.$msg." Look here~ ".$img_path."</div>";
}

前端代码:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>
<body>
    <div class="light"><span class="glow">
            <form enctype="multipart/form-data" method="post" action="./index.php">
                嘿伙计,传个火,点支烟,快活人生?!
                <input class="input_file" type="file" name="upload_file" />
                <input class="button" type="submit" name="submit" value="upload" />
            </form>
    </span><span class="flare"></span>
    </div>
</body>
</html>

RongChuJie
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
wazuh-documentation:Wazuh-项目文档
02-03
Wazuh文档 Wazuh是一个免费的,开源的,可用于企业的安全监视解决方案,用于威胁检测,完整性监视,事件响应和合规性。 该资源库中提供了有关该项目的在线文档。 Wazuh团队的成员和社区用户为它的发展和日常改进做出了贡献。 在线文件 为这个项目做贡献 如果您想对本文档做出贡献,请阅读我们的文件,以了解有关如何部署开发环境和提交请求的更多信息。 您也可以通过发送电子邮件至wazuh+subscribe@googlegroups.com加入我们的,以提出问题并参与讨论。 使用的软件和库 3.5+ 3.0.4 0.9.2 1.1.13 版权和许可 版权所有:copyright:2020 Wazuh,Inc. Wazuh是免费软件; 您可以根据自由软件基金会发布的GNU通用公共许可证的条款重新分发和/或修改它; 许可的版本2,或(由您选择)任何更高的版本。
网络安全最全Wazuh入门上线
2401_84247617的博客
05-04 764
EOF。
开源HIDS实践
2401_84466225的博客
06-03 1398
wazuh在全网服务器稳定运行了半年多的时间,总体来说还是一款挺不错的产品,最重要的是免费使用,非常适合预算有限的企业。wazuh社区也十分的活跃,在社区提问基本都会有开发者回复,回复速度也十分及时,与wazuh开发者沟通交流也是一件蛮不错的事情。但相对于国内商业HIDS来说,缺少规则的维护,需要投入较多的人力成本来维护规则,也没有本地查杀功能,没法及时发现webshell、木马等恶意文件。
wazuh的基本使用
m0_66022305的博客
08-23 347
Wazuh 是一个免费、开源和企业级的安全监控解决方案,用于威胁检测、完整性监控、事件响应和合规性。Wazuh由部署到受监视系统的端点安全代理和管理服务器组成,管理服务器收集和分析代理收集的数据。此外,Wazuh已与Elastic Stack完全集成,提供了搜索引擎和数据可视化工具,使用户可以浏览其安全警报。Wazuh提供的功能包括日志数据分析,入侵和恶意软件检测,文件完整性监视,配置评估,漏洞检测以及对法规遵从性的支持2、Wazuh平台的组件。
开源XDR-SIEM一体化平台 Wazuh (1)基础架构
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客
07-22 899
Wazuh索引器是一个高度可扩展的全文搜索和分析引擎。作为Wazuh平台的核心组件之一,它负责索引和存储由Wazuh服务器生成的警报,并提供接近实时的数据搜索和分析功能。Wazuh索引器可以配置为单节点或多节点集群,以实现可扩展性和高可用性。Wazuh索引器以JSON文档的形式存储数据。每个文档将一组键(或字段名、属性)与其对应的值相关联,这些值可以是字符串、数字、布尔值、日期、值数组、地理位置或其他类型的数据。索引是相关文档的集合。
wazuh-remoted 接收数据进程
thinker
10-08 2233
接收远端消息处理主函数 /* Handle remote connections */ void HandleRemote(int uid) { const int position = logr.position; int recv_timeout; //timeout in seconds waiting for a client reply int send_timeout; char * str_protocol = NULL; recv_time
使用WAZUH检测LD_PRELAOD劫持、SQL注入、主动响应防御
qq_68163788的博客
01-01 1522
Wazuh是一个开源的安全监控解决方案,可以用于检测和防御各种安全威胁,包括LD_PRELOAD劫持和SQL注入。对于LD_PRELOAD劫持,Wazuh可以通过监控LD_PRELOAD环境变量的变化来检测潜在的劫持行为,一旦发现异常,Wazuh可以触发警报并采取相应的防御措施,比如阻止相关进程或通知安全管理员。对于SQL注入攻击,Wazuh可以通过监控Web应用程序的日志来检测SQL注入尝试,并在检测到异常行为时触发警报。此外,Wazuh还可以与Web应用程序防火墙(WAF)或Web应用程序防护系统(WA
wazuh-analysisd 事件分析进程
thinker
10-07 526
wazuh-analysisd 事件分析进程 入口函数 #ifndef TESTRULE #ifdef WAZUH_UNIT_TESTING __attribute((weak)) #endif int main(int argc, char **argv) #else __attribute__((noreturn)) int main_analysisd(int argc, char **argv) #endif { int c = 0, m_queue = 0, test_config
wazuh-kibana-app:Wazuh-Kibana插件
02-03
Wazuh Kibana应用程序 该存储库包含Wazuh Kibana插件,您可以从中通过可视化方式以简单易懂的方式浏览Wazuh数据。 它还允许您管理Wazuh服务器的配置和功能。 Wazuh是一个安全检测,可见性和合规性开源项目。 Wazuh...
WAZUH-OSSEC:WAZUH-开源安全平台安装
02-03
在本文中,我们将详细介绍如何在 CentOS8 上安装和配置 WAZUH-OSSEC。 ### 1. 安装准备 在开始安装之前,确保你的 CentOS8 系统是最新的,通过运行以下命令: ```bash sudo yum update -y ``` 同时,确保系统上...
wazuh-elastic7-template-alerts.json
06-29
wazuh-elastic7-template-alerts.json,wazuh的ES模块导入
wazuhWazuh-开源安全平台
02-04
瓦祖 Wazuh是一个免费的开源平台,用于威胁的预防,检测和响应。 它能够在本地,虚拟化,容器化和基于云的环境中保护工作负载。 Wazuh解决方案由部署到受监视系统的端点安全代理和管理服务器组成,该管理服务器收集...
wazuh-api:Wazuh-RESTful API
02-04
Wazuh RESTful API Wazuh API是一种开源RESTful API,可通过您自己的应用程序或简单的Web浏览器或诸如cURL之类的工具与Wazuh进行交互。 我们的目标是完全远程管理Wazuh。 使用Wazuh API,现在最简单的方法就是执行...
Wazuh自定义规则
gehongzhou的专栏
11-18 2252
Wazuh会产生很多不必要的报警信息,通过Wazuh-manager端的/var/ossec/etc/rules/local_rules.xml可以增加一些规则来改变默认规则的行为,从而过滤不希望看到的告警。 <!-- Local rules --> <!-- Modify it at your will. --> <!-- Copyright (C) 2015-...
Wazuh和Nmap集成扫描内网中开放端口和服务
xnxqwzy的博客
08-05 125
本篇文章将介绍利用Wazuh和Nmap集成,扫描内网中开放端口和服务。此处我们将使用nmap/)**来扫描不同子网的开放端口/服务。Nmap扫描器需要安装在不同网段的不同Wazuh agent上,其输出被转换为JSON,并添加到每个agent的中。然后扫描通过cron安排作业,每周、每月等执行一次,这里也可以通过Wazuh的集成来触发。赶KPI 写得有点仓促,敬请见谅,如果有疑问可以私信我哈~漏洞悬赏计划:涂鸦智能安全响应中心(https://src.tuya.com)欢迎白帽子来探索。
wazuh 原理分析之Syscollector 系统信息收集工作流程
guoguangwu的专栏
11-07 3431
wazuh是从ossec-hids衍生过来的,部分架构设计有所不同, 多进程多线程模式。本机的进程之间通过Unix domain socket 进行通信的。 今天简单介绍一下数据搜集的相关功能的实现(Linux系统)。 注意由于篇幅所限, 在函数中我们只列出相关代码。 可以先看一下官网的架构设计 https://documentation.wazuh.com/3.9/getting-...
thinkPHP开发的彩漂网站源码,含pc端和手机端
最新发布
jiyc2008的博客
07-30 1万+
thinkPHP开发的菜票网站源码,含pc端和手机端
Windows 下的sqlserver数据拷贝到linux
cyw8998的专栏
07-25 277
2.在 >1 提示符下,输入以下 RESTORE DATABASE 命令,并在每行后按 Enter(无法同时复制和粘贴整个多行命令)。将出现的所有 gpdb 替换为数据库的名称。1.启动 sqlcmd。下面的示例以 SA 用户身份连接到本地 SQL Server。出现提示时输入密码,或使用 -P 参数指定密码。SSH打开linux终端。
--> Finished Dependency Resolution Error: wazuh-manager conflicts with wazuh-agent-4.3.11-1.i386 Error: wazuh-agent conflicts with wazuh-manager-4.4.3-1.x86_64 You could try using --skip-broken to work around the problem You could try running: rpm -Va --nofiles --nodigest怎么办
06-09
这个错误提示表明wazuh-manager和wazuh-agent之间存在冲突,导致无法安装。建议你尝试使用--skip-broken选项来绕过这个问题,或者运行rpm -Va --nofiles --nodigest命令来修复已损坏的包。如果问题仍然存在,你可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

RongChuJie

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值