hids wazuh 系列4-反弹shell规则

已于 2023-04-12 09:46:55 修改
阅读量2k 收藏
点赞数
分类专栏: 安全建设 基础安全 文章标签: wazuh规则 反弹shell检测 wazuh检测反弹shell hids检测shell wazuh Powered by 金山文档
于 2023-01-19 21:45:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29277155/article/details/128732923
版权
传统的入侵检测,主要分为网络入侵检测系统和主机入侵检测系统,分别作用于网络层面和主机(服务器、办公电脑等终端)。随着技术发展,出现了结合传统入侵检测系统和新技术(如数据分析、威胁情报、自动化操作、主动响应等)的新产品,这类新产品可能的名称是XDR、EDR、EPP等。Wazuh 是 以OSSEC作为引擎的基于主机的入侵检测系统,用于主机端点和云工作负载的统一XDR和SIEM保护。
摘要由CSDN通过智能技术生成

0x00 介绍

1.背景介绍

传统的入侵检测,主要分为网络入侵检测系统和主机入侵检测系统,分别作用于网络层面和主机(服务器、办公电脑等终端)。

随着技术发展,出现了结合传统入侵检测系统和新技术(如数据分析、威胁情报、自动化操作、主动响应等)的新产品,这类新产品可能的名称是XDR、EDR、EPP等。

2.用途介绍

Wazuh 是 以OSSEC作为引擎的基于主机的入侵检测系统,用于主机端点和云工作负载的统一XDR和SIEM保护。提供配置评估、扩展检测和响应、文件完整性监控、漏洞检测、威胁情报、日志数据分析、恶意软件检测、审计与合规、态势管理、工作负载保护、容器安全等安全解决方案,此外可以与许多外部服务和工具集成。如VirusTotal,YARA,Amazon Macie,Slack和FortiGate。

0x01 部署架构

1.系统架构

Wazuh 平台提供 XDR 和 SIEM 功能来保护您的云、容器和服务器工作负载。其中包括日志数据分析、入侵和恶意软件检测、文件完整性监控、配置评估、漏洞检测以及对法规遵从性的支持。

编辑

2.架构组件

更多详情请参考:Components - Getting started with Wazuh · Wazuh documentation

3.部署架构

0x02 安装部署

0x03 系统管理

5.告警规则管理

1.修改默认规则

2.新增自定义规则

  1. 常规内网扫描检测策略

  1. 常规反弹shell检测策略

检测规则

<group name="ossec,">

<rule id="100110" level="0">

<if_sid>530</if_sid>

<match>^ossec: output: 'ps -eo user,pid,cmd'</match>

<description>List of running process.</description>

<info>The

最低0.47元/天 解锁文章
煜铭2011
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
linux反弹shell检测和溯源,Wazuh联动osquery检测linux反弹shell
weixin_39820136的博客
05-14 1136
用osquery根据制定的规则定时检测系统并生成包含查询结果的日志文件,wazuh再对这些日志文件进行解析之后匹配规则告警。osquery下载安装的过程就略过了。这里简单介绍下osquery,详细请参考官方文档文件结构/etc/osquery//usr/share/osquery/osquery.example.conf/usr/share/osquery/lenses/{*}.aug/usr/s...
AgentSmith-HIDS:AgentSmith-HIDS是一个基于云的基于主机的入侵检测解决方案项目,旨在提供具有现代体系结构的下一代威胁检测和行为审计
02-06
AgentSmith-HIDS English |AgentSmith-HIDS是一个基于云的基于主机的入侵检测解决方案项目,旨在提供具有现代体系结构的下一代威胁检测和行为审计。 AgentSmith-HIDS包含三个主要组件: AgentSmith-HIDS Agent与...
Wazuh检测反弹shell
gehongzhou的专栏
11-18 1888
Wazuh通过在agent服务器上执行指定的命令,并收集命令结果,可以在一定程度上发现反弹shell的入侵行为。 目前有2中常见的检测方法,一种是通过netstat输出网络连接中的shell进程来识别,另一种是通过ps输出进程信息中的反弹shell命令特征来识别。 1. 在agent的/var/ossec/etc/ossec.conf文件末尾增加自定义的命令,并重启 <ossec_c...
wazuh配置mysql日志分析
最新发布
weixin_63279914的博客
05-30 313
wazuh规则配置
Laykefu客服系统 任意文件上传漏洞,2024年最新34岁程序员年薪50w
2401_83739632的博客
04-15 353
Laykefu客服系统/admin/users/upavatar.html接口处存在文件上传漏洞,而且当请求头中Cookie中的”user_name“不为空时即可绕过登录系统后台,恶意攻击者可利用此问题,上传后门文件,获取服务器权限。Laykefu 是一款基于workerman+gatawayworker+thinkphp5搭建的全功能webim客服系统,旨在帮助企业有效管理和提供优质的客户服务。
反弹shell总结
weixin_51692662的博客
11-10 1093
反弹shell
Wazuh从入门到上线
ordersyhack
02-02 1万+
Wazuh从入门到上线
wazuh 日志收集原理分析
热门推荐
guoguangwu的专栏
11-05 1万+
wazuh 默认安装到 /var/ossec目录下。 我基于manager端进行分析,和agent一样。默认启动ossec-logcollector进程去搜集日志:比如 snort日志、auditd日志、syslog日志等。 入口函数代码在src/logcollector/main.c中。 int main(int argc, char **argv) { /* 初始化处理: 命...
yulong-hids:一种由YSRC开源的主机入侵检测系统
02-20
驭龙隐藏由于此项目缺少维护,建议仅用于参考学习和二次开发驭龙HIDS是一种由YSRC开源的开源的入侵检测系统,由Agent , Daemon , Server和Web四个部分组成的,集合异常检测,监控管理为一体,拥有异常行为发现,...
ossec-hids-3.3.0-pcre2.tar.gz
08-22
"ossec-hids-3.3.0-pcre2.tar.gz" 这个文件名揭示了几个关键信息。"ossec-hids" 指的是 OSSEC(Open Source Security Information and Event Management)主机入侵检测系统,这是一个开源项目,用于监控系统日志、...
ossec-hids-2.8.2.zip
06-22
**ossec-hids-2.8.2.zip** 是一个包含OSSEC主机入侵检测系统(Host-based Intrusion Detection System)的版本2.8.2的压缩包。OSSEC是一款开源的、多平台的HIDS,它能提供实时的系统监控、警报以及日志分析功能,...
HIDS_SPEC_V10.pdf
08-03
4. HID 服务规范的应用场景 HID 服务规范适用于各种基于 BLE 5.0 的 HID 设备,例如键盘、鼠标、游戏控制器等。该规范为开发基于 BLE 5.0 的 HID 设备提供了统一的通信协议,确保设备之间的通信正确和可靠。 5. ...
网络安全--wazuh环境配置及漏洞复现
m0_68976043的博客
08-20 4094
1.1进入官网下载OVA启动软件1.2点击启动部署,傻瓜式操作1.3通过账号:wazuh-user,密码:wazuh进入wazuh1.4将桥接模式更改为仅nat模式1.5更改配置之后输入重新启动命令 service network restart查看自身ipip a1.6配置已好,本地开启小皮Apache直接访问1.7有时会因为网络问题出现如下问题,我们采用重启wazuh即可。
wazuh中的规则编写以及日志分析
qalx9的博客
08-23 1026
Wazuh是一个免费、开源和企业级的安全监控解决方案,用于威胁检测、完整性监控、事件响应和合规、也就是一套开源的完善的edr。Wazuh是一个安全检测、可视化和安全合规开源项目。它最初是OSSEC HIDS的一个分支,后来与Elastic Stack和OpenSCAP集成在一起,发展成为一个更全面的解决方案。Wazuh的功能有:入侵检测日志数据分析完整性检查漏洞检测配置评估应急响应云、容器安全等。
wazuh 集群
thinker
10-14 795
基本目的wazhu集群是一组wazuh管理器,它们共同工作以增强服务的可用性和可扩展性。使用wazuh集群设置,只要我们在必要时增加worker节点,就可以大大增加agent的数量。 使用集群的原因支持水平扩展与高可用性。 水平扩展支持数千个agent同时上报,向集群中增加一个agent也很简单(只需要在配置中增加master的地址)并且可以实现自动化,使用户可以实现自动扩展 可用性单节点机器系统可能宕机、或者人为关机、硬件损坏,当机器恢复时,您不知道之前发生的事件。但是在使用集群时,可以...
wazuh
Suexiao7的博客
08-24 157
Wazuh 是一个免费的开源安全平台,统一了 XDR 和 SIEM 功能。它可以保护本地、虚拟化、容器化和基于云的环境中的工作负载。Wazuh 帮助组织和个人保护其数据资产免受安全威胁。它被全球数千个组织广泛使用,从小型企业到大型企业。Wazuh的使用场景有:入侵检测日志数据分析完整性检查漏洞检测配置评估应急响应云、容器安全等。
wazuh与clamav 联动
guoguangwu的专栏
11-21 1610
第一步安装 clamav 本次测试使用的是Ubuntu 14.04.6 LTS 系统,直接使用二进制包安装 apt-get install clamav apt-get install clamav-daemon apt-get install libclamunrar6 注意:wazuh支持收集很多日志,比如syslog,clamav自己会写日志到/var/log/cla...
Wazuh关联分析规则高级玩法
orright的专栏
10-21 1523
# 前言 上面两篇讲到Wazuh安装部署和数据接入和解码,解决了EDR的基建问题,接下来就来讲解Wazuh规则玩法,之前就提到过 Wazuh是ossec的分支,那为啥非要用分支不用原生呢?其实问题就在于Wazuh对ossec的规则引擎进行改良和扩展,使得规则不限制于 少量且写死的字段,譬如源地址、目的地址等字段,可以进行无限制的字段扩展! 本篇不会去讲规则具体字段的使用,这个主要原因是Wazuh官方的文档写的实在是太详细了。 ## 规则类型 ### 根规则与派生规则(Parent/Child)
反弹Shell大全与原理
weixin_55652418的博客
01-02 1181
more反弹shell),就是控制端监听在某TCP/UDP端口,被控端发起请求到该端口,并将其命令行的输入输出转到控制端。reverse shell与telnet,ssh等标准shell对应,本质上是网络概念的客户端与服务端的角色反转。
OSSEC HIDS安装部署
09-09
OSSEC HIDS(Host Intrusion Detection System)是一种用于监测和防御主机的入侵的软件。它可以通过分析日志、检测文件完整性、检测Rootkit等功能来保护主机的安全。 要安装和部署OSSEC HIDS,你可以按照以下步骤进行操作: 1. 下载OSSEC HIDS软件包并解压缩。 2. 进入解压后的目录,并执行安装脚本。 3. 根据提示完成软件的安装过程。 4. 安装完成后,可以使用以下命令启动和停止OSSEC HIDS: - 启动OSSEC HIDS:/var/ossec/bin/ossec-control start - 停止OSSEC HIDS:/var/ossec/bin/ossec-control stop 5. 要查看或修改OSSEC HIDS的配置,可以编辑配置文件/var/ossec/etc/ossec.conf。 6. 部署完成后,你还可以将其他监控项集成到OSSEC HIDS中,以满足自己的需求。 如果在安装和使用OSSEC HIDS的过程中遇到任何问题,你可以访问https://github.com/ossec/ossec-hids 或者使用他们的公共邮件列表https://groups.google.com/forum/#!forum/ossec-list 寻求帮助。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值