linux审计工具有哪些,TRICK: Linux Auditd审计工具 | CN-SEC 中文网

最新推荐文章于 2023-02-06 15:33:50 发布
最新推荐文章于 2023-02-06 15:33:50 发布
阅读量149 收藏
点赞数
文章标签: linux审计工具有哪些

TRICK: Linux Auditd审计工具

August 20, 2019

背景

难题:/home/chen/test/目录下的index.html为首页文件,一直被入侵者恶意篡改

需求:想要定位攻击方式以及篡改方式

命令:auditctl (安装:sudo apt install auditd)

参数:

-w 监控文件路径 -p 监控文件筛选 r(读) w(写) x(执行) a(属性改变) -k 关键词(用于查询监控日志)

运行:sudo auditctl -w /home/chen/test/index.html -p w -k index,等待二次篡改

过程

发现被篡改执行:sudo ausearch -i -k index 查看日志

type=SYSCALL msg=audit(08/20/2019 02:22:10.905:509) : arch=x86_64 syscall=rename success=yes exit=0 a0=0x7f5c94011370 a1=0x7f5c94005d90 a2=0x0 a3=0x20 items=5 ppid=1966 pid=17243 auid=chen uid=chen gid=chen euid=chen suid=chen fsuid=chen egid=chen sgid=chen fsgid=chen tty=(none) ses=3 comm=pool exe=/usr/bin/gedit key=index

了解该日志的格式:

syscall : 相关的系统调用 auid : 审计用户ID uid 和 gid : 访问文件的用户ID和用户组ID comm : 用户访问文件的命令 exe : 上面命令的可执行文件路径

这里的syscall可以理解为是执行的动作,那么这段日志就非常容易理解了:用户chen使用gedit rename了该文件(重命名)

那么syscall是什么代表着编辑文件内容呢?(篡改)

测试gedit打开文件、编辑文件内容、保存文件,有三条日志:

type=SYSCALL msg=audit(08/20/2019 02:22:10.897:506) : arch=x86_64 syscall=openat success=no exit=EEXIST(File exists) a0=0xffffff9c a1=0x7f5ca0009800 a2=O_WRONLY|O_CREAT|O_EXCL a3=0x1b6 items=2 ppid=1966 pid=17243 auid=chen uid=chen gid=chen euid=chen suid=chen fsuid=chen egid=chen sgid=chen fsgid=chen tty=(none) ses=3 comm=pool exe=/usr/bin/gedit key=index type=SYSCALL msg=audit(08/20/2019 02:22:10.897:507) : arch=x86_64 syscall=openat success=yes exit=17 a0=0xffffff9c a1=0x7f5ca0009800 a2=O_WRONLY|O_CREAT|O_NOFOLLOW a3=0x1b6 items=2 ppid=1966 pid=17243 auid=chen uid=chen gid=chen euid=chen suid=chen fsuid=chen egid=chen sgid=chen fsgid=chen tty=(none) ses=3 comm=pool exe=/usr/bin/gedit key=index type=SYSCALL msg=audit(08/20/2019 02:22:10.905:509) : arch=x86_64 syscall=rename success=yes exit=0 a0=0x7f5c94011370 a1=0x7f5c94005d90 a2=0x0 a3=0x20 items=5 ppid=1966 pid=17243 auid=chen uid=chen gid=chen euid=chen suid=chen fsuid=chen egid=chen sgid=chen fsgid=chen tty=(none) ses=3 comm=pool exe=/usr/bin/gedit key=index

syscall分别为:openat、openat、rename,但注意到第一个openat的日志中的success等于no

也就是说我们可以理解日志中出现syscall=openat即有人在修改文件,那么查看日志的命令就可以变成:

sudo ausearch -i -k index | grep 'syscall=openat'

END:定位到了用户、进程就可以继续跟踪了。

考维斯
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux shell trick
10-09
Linux Shell技巧是Linux系统操作中的重要组成部分,它是一种命令行接口,允许用户通过文本命令与操作系统进行交互。Shell脚本可以极大地提高效率,自动化日常任务,并且是系统管理员的得力工具。以下是一些关键的...
Linux安全之auditd审计工具使用说明
最新发布
月生的静心苑
11-28 6259
audit 我们可以使用auditctl临时配置规则,服务重启失效,如果需要配置永久生效,我们需要将规则写入到配置文件中。auditd审计规则分成三个部分,控制规则:这些规则用于更改审计系统本身的配置和设置。文件系统规则:这些是文件或目录监视。使用这些规则,我们可以审核对特定文件或目录的任何类型的访问。系统调用规则:这些规则用于监视由任何进程或特定用户进行的系统调用。使用 ausearch ,您可以过滤和搜索事件类型。它还可以通过将数值转换为更加直观的值(如系统调用或用户名)来解释事件。
Linux系统审计工具Lynis的使用总结
QA的自我修养
06-08 3884
一、lynis简介 Lynis是Linux系统中的审计工具,能够对Linux系统的安全进行检测,在对Linux系统进行扫描检测后,会生成报告。Lynis 是一套适用于各种 UNIX based system 的系统安全检测工具,以 Shell Script建构而成。它能找出系统安全需要补强的地方,同时提供许多提升系统安全的作法与建议,对于系统管理者来说是一套既实用,又能从中学习(或复习)到许多系统安全观念的好工具。不足之处:该款工具比较全面的涵盖了系统安全的审计内容,但每个审计项都不深入,需要具体的扩展,例
LAUREL:一款功能强大的Linux事件日志审计和转换工具
Jinmindong
02-06 329
io/laurel/blob/master/etc/audit/plugins.d/laurel.conf)拷贝到/etc/audisp/plugins.d/laurel.conf或/etc/audit/plugins.d/laurel.conf,具体取决于审计器版本。io/laurel/blob/master/etc/laurel/config.toml)拷贝到/etc/laurel/config.toml,并对其进行自定义配置。将LAUREL注册为一个audisp插件:将提供的[
Linux审计工具auditd使用与日志收集
热门推荐
不以物喜的博客
02-04 1万+
0 概述 Auditd工具可以帮助运维人员审计Linux,分析发生在系统中的发生的事情。Linux 内核有用日志记录事件的能力,包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞(如多次失败的登录尝试,或者用户对系统文件不成功的访问)。 1 安装 Centos7默认已安装Audit 使用命令service auditd status可查看该服务是否开启 2 配置文件 在/etc/audit路径下 auditd.conf文件 ----审计工具的配置文件 audit.rules文
CMCC-Trick:招惹CMCC-* WLAN
06-03
Trick-CMCC 利用CMCC公共热点的小漏洞免费上网~~ :) sudo ./conn.sh Notice: 目前只知道我工CMCC有这特色, 其他地区尚不明确 Notice: 脚本适用于使用NetWorkManager网络sds管理工具系统 Notice: 不必惊讶原理, ...
Cross Iframe Trick:the Old New Thing
03-01
标签“源码”和“工具”提示我们,可能在博客中会有具体的代码示例或推荐的工具来帮助开发者实现跨框架通信。`iframe.doc`文件可能包含了文章的详细内容,如具体的代码片段、步骤解析和使用建议。 总结来说,"Cross...
21-card-trick:在 React 中完成的 21 张卡片技巧
05-30
React 21 卡技巧一个演示卡片技巧的React应用程序。动机该项目旨在学习如何使用 React 钩子和进行嵌套的 api 调用。 该项目不再进行。怎么玩记住 21 张卡片中的 1 张后,单击完成。 选择您的卡片所在的 3 堆中的哪一...
trick17:用于 Windows 故障排除的实用程序-开源
06-29
*测试 Internet 连接 *清除 DNS 解析器缓存 *添加多个本地 Windows 用户帐户 *可以下载任意或选定的第 3 方实用程序 *Windows 更新缓存重置 *无需设置。 注意:仅限 64 位 Windows
Linux audit 日志审计服务安装及使用
01-12
Linux auditd 工具可以将审计记录写入日志文件。包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞。
linux审计工具audit,Linux audit 审计工具
weixin_39553805的博客
05-03 170
centos 系统 audit 默认是安装的查看状态:[root@ecs-proxy ~]# service auditd status[root@ecs-proxy ~]# auditctl -s查看规则:[root@ecs-proxy ~]# auditctl -l删除规则:[root@ecs-proxy ~]# auditctl -D查看帮助:[root@ecs-proxy ~]# audi...
Linux系统中五款好用的日志分析工具
永远在学习Linux之路上
05-11 1万+
监控网络活动是一项繁琐的工作,但有充分的理由这样做。例如,它允许你查找和调查工作站和连接到网络的设备及服务器上的可疑登录,同时确定管理员滥用了什么。你还可以跟踪软件安装和数据传输,以实时识别潜在问题,而不是在损坏发生后才进行跟踪。 这些日志还有助于使你的公司遵守适用于在欧盟范围内运营的任何实体的通用数据保护条例(GFPR)。如果你的网站在欧盟可以浏览,那么你就有遵守的该条例的资格。 日志记录,包括...
Linux 用户空间审计工具 audit
Vic的博客
05-21 1万+
前言Linux auditd 工具可以将审计记录写入日志文件。包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞。本文首先介绍用户空间审计系统的结构,然后介绍主要的 audit 工具的使用方法。Linux 用户空间审计系统简介Linux 内核有用日志记录事件的能力,包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞(如多次失败的登录尝试,或者用户对系统文...
Linux审计工具audit
weixin_43800781的博客
04-19 1617
审计 基于事先配置的规则生成日志,记录可能发生在系统上的事件。会发现并记录违反安全策略的人及其行为,但是不会提供额外的安全保护 可以记录日期与事件及结果,触发事件的用户,所有认证都可以被记录,如ssh等,还可记录数据文件的修改行为。比如监控文件访问,监控系统调用,记录用户运行的命令,审计可以监控网络访问行为 ausearch工具,可以根据条件过滤审计日志 aureport工具,可以生成审计...
Linux安全漏洞审计工具Lynis
weixin_33929309的博客
04-18 115
2019独角兽企业重金招聘Python工程师标准>>> ...
Linux简易审计工具
weixin_33779515的博客
10-25 289
思路就是把所有用户运行过的所有命令都记录下来。 虽然系统自带的.bash_history文件可以记录一些日志,但是却记录不及时,很有可能因为用户没有正常退出终端而没有能记录进去。在这里,我们要用的并不是这个history,而是运用了一个小技巧。创建记录日志的目录# mkdir -p /usr/local/records/给它任何用户都能读写的权限# chmod 777 /us...
linux安全审计和加固工具-lynis
煜铭2011
05-27 7590
0x00前言 lynis是一款开源的unix-based平台的审计工具。可以帮助审计员扫描unix系统以及可用的软件。程序主要探测,系统上安装的程序包,配置上的错误,以及安全问题和系统信息。 0x01 下载与安装 1 通过直接下载进行安装 步骤一:建立下载的目录 root@kali:~# mkdir -p /usr/local/lynis && cd /us...
2017年12月PoC||GTFO技术综述:黑客工具与技术演示
5. 指令执行技巧:如"The DIP Flip Whixr Trick",可能涉及到处理器指令的巧妙操作或反汇编技术。 6. 系统漏洞利用:如在FreeBSD上注入共享对象,是黑客工具包中的常见攻击手段,用来探讨操作系统安全的薄弱环节。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值