wazuh常用内容、防御sql注入

最新推荐文章于 2024-06-23 21:00:00 发布
最新推荐文章于 2024-06-23 21:00:00 发布
阅读量163 收藏
点赞数 2
分类专栏: 网安 文章标签: 服务器 linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vt_yjx/article/details/132416509
版权

目录

安装wazuh

常用内容

检测sql注入

主动响应

安装wazuh

本地测试的话建议用ova文件,直接导入虚拟机就能用了

官网:Virtual Machine (OVA) - Installation alternatives

常用内容

目录位置:/etc/ossec

配置文件:/var/ossec/etc/ossec.conf

告警信息:/var/ossec/logs/alerts/alerts.log,有两个格式,json格式是给计算机看的

规则:/var/ossec/ruleset/rules,不建议修改

快速查找一条规则:

[root@wazuh-server rules]# find . -type f -name "*.xml" -print0 | xargs -0 grep -r -i "5557"
./0085-pam_rules.xml:  <rule id="5557" level="5">

添加代理

直接按照wazuh的选项来就可以:     

 

查找代理:

路径:/var/ossec/bin

这个工具可以找到我们的代理,如下:

 

检测sql注入

        先在客户端配置文件中/var/ossec/etc/ossec.conf添加要监控的日志

<ossec_config> 

<localfile>
    <log_format>apache</log_format>
    <location>/var/log/httpd/access.log</location>
  </localfile>

</ossec_config>

在服务端不用操作,因为相关规则都写好了的

然后在客户端模拟下攻击:

 日志明显已经记录下来了:

看wazuh的监控:

 发现提示

主动响应

        要在服务端的配置文件上配置:

这是主动响应的位置,这些命令就是要执行的内容,不调用是无法使用的,所以我们自己写的主动响应规则需要按需求来调用这些命令

 模板:

<ossec_config>
  <active-response>
    <disabled>no</disabled>
    <command>host-deny</command>
    <location>defined-agent</location>
    <agent_id>001</agent_id>
    <level>10</level>
    <timeout>180</timeout>
  </active-response>
</ossec_config>

这里使用的是level触发,能管到所有达到这个等级的代理客户端

如果用<rules_id></rules_id>来触发的话可以更精确

这里用rules_id写然后添加进去

        

这个31103和31171是在提示告警的时候触发的,这样就能精确匹配上了

重启服务然后再测试改成的sql注入,发现无法访问了

再去看iptables就能发现IP已经被加进去了(后面会根据timeout把ip放出来)

如果手动操作的话,就得看日志,再手动添加进防火墙,效率低下、繁琐

vt_yjx
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
wazuh-ruleset:Wazuh-规则集
02-03
瓦祖规则集 该存储库处于只读模式,不再使用。 现在,所有与Wazuh规则集相关的内容都位于 。
防御SQL注入的方法总结
09-10
防御SQL注入是保护网站和应用程序免受此类攻击的关键步骤。 1. SQL注入的基本原理: SQL注入攻击通常是由于应用程序未能正确验证和过滤用户输入的数据,直接将这些数据拼接到SQL查询语句中导致的。例如,一个简单的...
wazuh的基本使用
m0_66022305的博客
08-23 346
Wazuh 是一个免费、开源和企业级的安全监控解决方案,用于威胁检测、完整性监控、事件响应和合规性。Wazuh由部署到受监视系统的端点安全代理和管理服务器组成,管理服务器收集和分析代理收集的数据。此外,Wazuh已与Elastic Stack完全集成,提供了搜索引擎和数据可视化工具,使用户可以浏览其安全警报。Wazuh提供的功能包括日志数据分析,入侵和恶意软件检测,文件完整性监视,配置评估,漏洞检测以及对法规遵从性的支持2、Wazuh平台的组件。
自动化安全运营实操案例- 飞书 X Wazuh X 雷池WAF
最新发布
ZL_1618的博客
06-23 775
Wazuh| 一款国外的SIEM平台,可以理解为安全版的ELK,具有日志统计分析、可视化、主机监控等功能。目前github有9.2kstar,目前分为Saas版和开源版。Wazuh分为Server端以及Agent,Agent可以对服务器进行日志监控、漏洞检测、安全合规基线扫描、进程收集,集成VirusTotal接口后可具备磁盘恶意文件检测能力。本文中使用的是私有部署的开源版4.7.4,主要提供日志监控、下发指令自动处置的能力。—|—
wazuh安装与使用
weixin_53434577的博客
08-23 789
下载:https://wazuh.com可以直接安装Linux这个,然后导入到Linux中就可以使用了。导入完毕后开启,使用远程连接工具进行连接,出现以下画面则成功了。之后可以看一下图形化界面,使用IP地址进行登录。账号和密码均为admin登录后所示页面。到此wazuh安装完毕,就可以使用wazuh了。
使用WAZUH检测LD_PRELAOD劫持、SQL注入、主动响应防御
qq_68163788的博客
01-01 1522
Wazuh是一个开源的安全监控解决方案,可以用于检测和防御各种安全威胁,包括LD_PRELOAD劫持和SQL注入。对于LD_PRELOAD劫持,Wazuh可以通过监控LD_PRELOAD环境变量的变化来检测潜在的劫持行为,一旦发现异常,Wazuh可以触发警报并采取相应的防御措施,比如阻止相关进程或通知安全管理员。对于SQL注入攻击,Wazuh可以通过监控Web应用程序的日志来检测SQL注入尝试,并在检测到异常行为时触发警报。此外,Wazuh还可以与Web应用程序防火墙(WAF)或Web应用程序防护系统(WA
Wazuh开源主机安全解决方案的简介与使用体验
watermelonbig的专栏
07-03 5264
今天我们给大家介绍的这款开源主机安全产品——Wazuh,是免费的开源软件。其组件遵守GNU通用公共许可证2版和Apache许可证2.0版(ALv2)。Wazuh平台提供XDR和SIEM功能来保护云、容器和服务器工作负载。其中包括日志数据分析、入侵和恶意软件检测、文件完整性监控、配置评估、漏洞检测,以及支持检查对法规遵从性的检测。...
SQL注入攻击与防御
07-17
SQL注入攻击与防御》主要内容SQL注入一直长期存在,但最近有所增强。《SQL注入攻击与防御》包含所有与SQL注入攻击相关的、当前已知的信息,凝聚了由《SQL注入攻击与防御》作者组成的、无私奉献的SQL注入专家...
sql注入攻击常用语句总结
03-29
sql注入总结 语句精简 类型丰富 种类齐全 值得学习 欢迎借鉴
sql注入常用命令
09-18
sql注入常用命令,个人总结,适合一些小白使用,大神可以了解了解,有错请指出。
Wazuh从入门到上线
ordersyhack
02-02 1万+
Wazuh从入门到上线
wazuh安装配置及学习笔记
weixin_54704770的博客
08-23 2116
Wazuh是一个用于威胁预防、检测和响应的开源平台,它能够跨场所、虚拟化、容器化和基于云的环境保护工作负载;使用场景广泛包括但不局限于:入侵检测、日志数据分析、完整性检查、漏洞检测、配置评估、事故应变、合规、云安全、容器安全等;解决方案包括一个部署到被监控系统的终端安全代理和一个收集和分析代理收集的数据的管理服务器。此外,Wazuh 已经与 Elastic Stack 完全集成,提供了一个搜索引擎和数据可视化工具,允许用户通过他们的安全警报进行导航。
Wazuh--一个完善的开源EDR产品
网络安全研究
09-11 9964
1. 简介 Wazuh由部署到受监视系统的端点安全代理和管理服务器组成,管理服务器收集和分析代理收集的数据。此外,Wazuh已与Elastic Stack完全集成,提供了搜索引擎和数据可视化工具,使用户可以浏览其安全警报。 Wazuh提供的功能包括日志数据分析,入侵和恶意软件检测,文件完整性监视,配置评估,漏洞检测以及对法规遵从性的支持。 github: https://github.com/wazuh 2. Wazuh平台的组件和体系结构 Wazuh平台主要包括三个主要组件,分别是Wazuh代理,Wazu
wazuh 日志收集原理分析
热门推荐
guoguangwu的专栏
11-05 1万+
wazuh 默认安装到 /var/ossec目录下。 我基于manager端进行分析,和agent一样。默认启动ossec-logcollector进程去搜集日志:比如 snort日志、auditd日志、syslog日志等。 入口函数代码在src/logcollector/main.c中。 int main(int argc, char **argv) { /* 初始化处理: 命...
Wazuh安装&功能测试——一篇到底
网安小白的博客
04-21 1937
Wazuh的下载安装&功能测试,一篇就够了~
wazuh初探系列二 :Wazuh功能初步探知
weixin_51525416的博客
08-22 2475
Wazuh功能初步探知
利用wazuh对系统进行漏洞检测扫描
weixin_44151123的博客
03-07 632
Wazuh 能够使用漏洞检测器模块检测安装在代理上的应用程序中的漏洞此软件审计是通过集成由 Canonical、Debian、Red Hat、Arch Linux、ALAS(Amazon Linux 公告安全)、Microsoft 和国家漏洞数据库索引的漏洞源来执行的。
wazuh
Suexiao7的博客
08-24 163
Wazuh 是一个免费的开源安全平台,统一了 XDR 和 SIEM 功能。它可以保护本地、虚拟化、容器化和基于云的环境中的工作负载。Wazuh 帮助组织和个人保护其数据资产免受安全威胁。它被全球数千个组织广泛使用,从小型企业到大型企业。Wazuh的使用场景有:入侵检测日志数据分析完整性检查漏洞检测配置评估应急响应云、容器安全等。
Wazuh关联分析规则高级玩法
orright的专栏
10-21 1528
# 前言 上面两篇讲到Wazuh安装部署和数据接入和解码,解决了EDR的基建问题,接下来就来讲解Wazuh的规则玩法,之前就提到过 Wazuh是ossec的分支,那为啥非要用分支不用原生呢?其实问题就在于Wazuh对ossec的规则引擎进行改良和扩展,使得规则不限制于 少量且写死的字段,譬如源地址、目的地址等字段,可以进行无限制的字段扩展! 本篇不会去讲规则具体字段的使用,这个主要原因是Wazuh官方的文档写的实在是太详细了。 ## 规则类型 ### 根规则与派生规则(Parent/Child)
SQL注入:威胁详解与防御策略
"SQL注入攻击与防御" SQL注入是一种严重的网络安全问题,它允许恶意攻击者通过在Web应用程序的输入字段中插入恶意SQL代码,从而操控数据库,获取敏感信息,甚至完全控制服务器。《SQL注入攻击与防御》这本书深入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值