记一次生产环境脚本入侵检测与报警案例(检测特定目录被改动,自动报警)

最新推荐文章于 2022-12-16 15:31:03 发布
最新推荐文章于 2022-12-16 15:31:03 发布
阅读量590 收藏
点赞数
分类专栏: centos shell
原文链接:http://www.safebase.cn/article-259102-1.html
版权
安全/优化 同时被 3 个专栏收录
133 篇文章 6 订阅 ¥99.90 ¥299.90
订阅专栏 超级会员免费看
shell
77 篇文章 3 订阅 ¥99.90 ¥299.90
订阅专栏 超级会员免费看
centos
244 篇文章 11 订阅
订阅专栏

需求 : 特定目录,改动之后,自动报警。

转载来源 : 记一次生产环境脚本入侵检测与报警案例(简易版入侵检测系统) : http://www.safebase.cn/article-259102-1.html

概述

因业务需要,需监控某web站点目录下所有文件是否被恶意篡改(文件内容被改了),如果有就打印改动的文件名(发邮件),定时任务每3分钟执行一次。

下面简单介绍下实现过程。

一、生成md5验证文件

1、文件的校验文件

find /var/html/www/* -type f |xargs md5sum >/tmp/check/web_file_check.md5sum

2、目录的校验文件

tree /var/html/www/ -d >/tmp/check/web_dir_check.txt
md5sum /tmp/check/web_dir_check.txt
md5sum /tmp/check/web_dir_check.txt >/tmp/check/web_dir_check.md5sum

二、邮箱

Sendmail配置发送邮件的邮箱认证信息

vi /etc/mail.rc

--- 增加如下内容 ---
set from=yourname@your-domain.com
set smtp=mail.your-domain.com
set smtp-auth-user=yourname
set smtp-auth-password=yourpasswd
set smtp-auth=login

在这里插入图片描述

三、脚本内容

#!/bin/bash
#############################################################
# File Name: web_file_check.sh
# 前提: yum install -y tree
#############################################################

Dir=/tmp/check/
Web_Dir=/tmp/html/
Check_File1=/tmp/check/web_file_check.md5sum
Check_File2=/tmp/check/web_dir_check.md5sum
Check_Dir=/tmp/check/web_dir_check.txt
Check_Out=/tmp/check/check_out.md5sum
Mail_info=/tmp/check/mail.txt

Date=`date +%F_%T`
Host_Name=`hostname`
Host_IP=`hostname -I`
Email_Addr=huangwb@fslgz.com

echo "=========================inital============================"
[ -d $Dir ] || mkdir -p $Dir
if [ ! -f $Check_File1 ] 
 then 
 find /tmp/html/* -type f |xargs md5sum >/tmp/check/web_file_check.md5sum
elif [ ! -f $Check_File2 ]
 then 
 tree /tmp/html/ -d >/tmp/check/web_dir_check.txt
 md5sum /tmp/check/web_dir_check.txt
 md5sum /tmp/check/web_dir_check.txt >/tmp/check/web_dir_check.md5sum
fi

echo "========================check_out============================"
md5sum -c $Check_File1 >$Check_Out 2>/dev/null
Back_num1=$?
tree -d $Web_Dir >$Check_Dir
md5sum -c $Check_File2 &>/dev/null
Back_num2=$?

echo "======================开始校验并触发告警====================="
if [ $Back_num1 -ne 0 ]
 then
 echo "发生主机:$Host_Name 主机IP地址:$Host_IP" > $Mail_info
 echo "在 $Date 的检测中发现以下文件被篡改" >>$Mail_info
 echo "==================================================" >>$Mail_info 
 egrep -i "失败|failed" $Check_Out >>$Mail_info
 echo "==================================================" >>$Mail_info 
 echo "请尽快登陆服务器进行处理!!!" >>$Mail_info
 
 mail -s "【警告】web站点文件被篡改" -a $Check_File1 $Email_Addr <$Mail_info
fi

if [ $Back_num2 -ne 0 ]
 then
 echo "目录检测信息" >$Mail_info
 echo "在 $Date 的检测中发现目录被篡改" >>$Mail_info
 mail -s "【警告】web站点目录被篡改" -a $Check_Dir $Email_Addr<$Check_Dir
fi

在这里插入图片描述
在这里插入图片描述

四、测试

删除文件后执行结果
在这里插入图片描述
查看邮件:
在这里插入图片描述

寰宇001
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
订阅专栏
网络安全等级保护实施指导细则详解
悦分享
09-15 2938
指出现短时故障无法提供服务,可能对社会秩序、公共利益等造成严重损害的系统,即可用性级别大于等于99.9%,年度停机时间小于等于8.8小时的系统;一般包括但不限于银行、证券、非金融支付机构、互联网金融等交易类系统,提供公共服务的民生类系统、工业控制类系统等。
Python-python中的入侵检测脚本
08-10
脚本将扫描您选择的网络,并提醒您白名单中不存在的任何设备。 白名单是您信任的MAC地址列表。 第一次运行脚本时,白名单将为空,最多可将您信任的设备添加到白名单。
入侵计算机案例脚本,一次生产环境脚本入侵检测与警告案例(简易版入侵检测系统)...
weixin_32480335的博客
07-29 521
概述因业务需要,需监控某web站点目录下所有文件是否被恶意篡改(文件内容被改了),如果有就打印改动文件名(发邮件),定时任务每3分钟执行一次。下面简单介绍下实现过程。一、生成md5验证文件1、文件的校验文件find /var/html/www/* -type f |xargs md5sum >/tmp/check/web_file_check.md5sum2、目录的校验文件tree /va...
企业级-Shell案例18——目录入侵检测与告警
南宫乘风-Linux运维-虚拟化容器-Python编程 ownit.top
01-21 903
入侵检测与告警 对某目录里创建,删除文件监控。 挖矿病毒 :应用程序和系统漏洞 勒索病毒 /usr/bin /wwwroot 串改,注入 脚本编写 yum install -y infoify-tool #!/bin/bash MON_DIR=/opt inotifywait -mqr --format %f -e create $MON_DIR |\ while ...
Shell脚本入侵检测报告
vayneX的博客
03-12 573
#!/bin/bash #main application:入侵报告生成工具,以auth.log作为日志文件为例 AUTHLOG=/var/log/auth.log if [[ -n $1 ]];then AUTHLOG=$1 echo -e "\033[1;31mUsing Log File:$AUTHLOG\033[0m" fi LOG=/tmp/valid.$$.log #g...
14:开发脚本入侵检测报警案例
weixin_33894640的博客
12-07 204
14:开发脚本入侵检测报警案例 面试及实战考试题:监控web站点目录(/var/html/www)下所有文件是否被恶意篡改(文件内容被改了),如果有就打印改动文件名(发邮件),定时任务每3分钟执行一次。 解答: [root@web03 scripts]# cat web_check.sh #!/bin/bash wzml=/application/tomcat8_...
案例分析2
zylg
10-18 3810
文章目录17年151413 17年 试题一 阅读以下关于软件架构设计的叙述,在答题纸上回答问题1至问题3 。 【说明】 某软件公司为某品牌手机厂商开发一套手机应用程序集成开发环境,以提高开发手机应用程序的质量和效率。在项目之初,公司的系统分析师对该集成开发环境的需求进行了调研和分析,具体描述如下: a.需要同时支持该厂商自行定义的应用编程语言的编辑、界面可视化设计、编译、调试等模块,这些模块产生的模型或数据格式差异较大,集成环境应提供数据集成能力。集成开发环境还要支持以适配方式集成公司现有的应用模拟器工具。
模糊测试--强制性安全漏洞发掘
软件性能测试专栏
01-20 2万+
文档分享地址链接:http://pan.baidu.com/share/link?shareid=2723797392&uk=2485812037 密码:r43x 前 言 我知道"人类和鱼类能够和平共处" 。 --George W. Bush, 2000年9月29日 简介 模糊测试的概念至少已经流传了20年,但是直到最近才引起广泛的关注。安全漏洞困扰了许多流行的客户端应用程序
电力行业安全建设方案
热门推荐
god881205的博客
02-22 4万+
1.    电力行业概述 1.1. 电力行业简介 电力系统是由发电、输电、变电、配电、用电设备及相应的辅助系统组成的电能生产、输送、分配、使用的统一整体。由输电、变电、配电设备及相应的辅助系统组成的联系发电与用电的统一整体称为电力网。 电力工业是国民经济发展中最重要的基础能源产业,是关系国计民生的基础产业。电力行业对促进国民经济的发展和社会进步起到重要作用,与社会经济和社会发展有着十分密切的
漏洞验证脚本ssl-deacth-alert(cve-2016-8610)
12-14
仅供学习。勿用商业。谢谢合作。漏洞验证脚本ssl-deacth-alert(cve-2016-8610)
生产验证码代码
u010587211的专栏
09-25 528
package com.icss.CarSystem.util; import java.awt.Color; import java.awt.Font; import java.awt.Graphics; import java.awt.image.BufferedImage; import java.io.IOException; import java.util.Random;
【数据安全案例】多个教育网站数据库被篡改,假证更“真”
weixin_34364071的博客
06-28 406
在当今社会,“学历”是一个重要的身份标志。如此一来,教育部门的“学历”数据库就成为了重要的信息资产。如果“学历”数据库遭到***和篡改,那么假学历现象就会更加难查。因为你拿着假学历输入编号去网上一查,系统会返回“该学历及学生身份存在,真实有效”! 我们已经列举了很多这类的案件,包括:高教网站学籍数据库被***,数据遭窃取并被贩卖,******教育考试院数据库,篡改录被起诉判刑,以及假借修改医师...
shell 入侵检测与邮件告警
xiaowoniuwzx的博客
04-10 243
shell 入侵检测与邮件告警 #!/bin/bash webdir=/var/www/html cd $webdir#方法1 MD5sum校验 #md5sum /var/www/html/index.html >/opt/webfile.db md5sum -c --quiet /opt/webfile.db if [ $? -eq 0 ]; then echo “web file is ...
shell入侵检测与邮件警告
weixin_45956310的博客
12-02 160
# !/bin/bash webdir=/var/www/html cd $webdir #方法1 md5sum校验 #md5sum /var/www/html/index.html >/opt/webfile.db md5sum -c --quiet /opt/webfile.db if [ $? -eq 0 ]; then echo "web file is ok" else ech...
常用的脚本验证方法
代码生活,敲出程序人生
10-08 774
/*========================================================================      说明                1.限定输入字符的长度      maxTextValue(obj,maxlen)    2.限定只能输入数字并限制长度      numValue(obj,maxlen)    3.限制文本框只能输入
python判断目录或者文件是否存在
qq_29176323的博客
03-07 1014
python判断目录是否存在 示例 import os def check_dir(dir): if not os.path.exists(dir): os.makedirs(dir) def main(): # os.getcwd() 获取当前py文件的绝对路径 _dir = os.path.join(os.getcwd(), "images", 'xxx') check_dir(_dir) if __name__ == '__main__':
RCNN网络源码解读(Ⅰ) --- 获取数据并预处理数据
最新发布
qq_41694024的博客
12-16 1659
RCNN网络源码解读(Ⅰ) --- 获取数据并预处理数据
WinCC全局脚本实现自动与手动声音报警
总结来说,WinCC声音报警的实现依赖于编程技能,通过脚本和内置控件能够实现自动化和用户交互式的报警机制,这对于提高生产环境中的安全性及实时性非常重要。同时,了解Windows API的使用可以帮助开发者更好地定制和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值