如何用ai给网站做logo,怎么做网页上小广告,加强思政部网站建设,百度地图广告投放目录
1、检查后门
使用工具检测后门
1.chkrootkit
2.rkhunter
手动检查文件
检查ld.so.preload文件
2、检测LD_PRELOAD
ubuntu配置
wazuh配置
3、检测SQL注入
ubuntu配置
攻击模拟
4、主动响应 wauzh的安装以及设置代理可以参考本篇#xff1a;WAZUH的安装、设置…目录
1、检查后门
使用工具检测后门
1.chkrootkit
2.rkhunter
手动检查文件
检查ld.so.preload文件
2、检测LD_PRELOAD
ubuntu配置
wazuh配置
3、检测SQL注入
ubuntu配置
攻击模拟
4、主动响应 wauzh的安装以及设置代理可以参考本篇WAZUH的安装、设置代理-CSDN博客 前面我们也介绍过使用LD_PRELOAD劫持动态链接库 然后本篇就介绍一下如何使用wazu来检测LP_PRELOAD劫持和SQL注入
1、检查后门
使用工具检测后门
1.chkrootkit
可以直接在命令行中进行安装
apt-get install chkrootkit
然后直接执行chkrootkit就会自动进行后门检测 2.rkhunter
该工具也同样可以使用apt命令直接安装
apt install rkhunter
安装完成后执行rkhuter -c就会进行后门检测 手动检查文件
虽然工具会提高查找效率但是我们进行后门检测时不能仅仅依赖工具还需要检查一些文件中是否有恶意的文件
检查ld.so.preload文件
/etc/ld.so.preload文件是Linux系统中的一个配置文件它用于指定在程序加载时要预先加载的共享库这些共享库会在程序启动时被加载到内存中以便提供额外的功能或修改程序的行为。 我们如果发现这个文件里面有东西那么大概率都是攻击者的恶意文件
2、检测LD_PRELOAD
那么下面就演示一下使用wazuh来检测LD_PRELOAD劫持的过程
ubuntu配置
1首先我们需要在代理设备上安装监控软件
这里的代理设备以Ubuntu为例安装监控软件
apt-get install -y auditd
2加入对ld_preload劫持的监控规则
echo -w /etc/ld.so.preload -p wa -k possible_preload_hijack /etc/audit/rules.d/audit.rules这条规则的意思就是监控这个/etc/ld.so.preload文件的写入或者增加就会发出告警 possible_preload_hijack
增加完成后我们可以看一下该文件 可以看到这条规则已经加入到文件里面了
3加入规则后需要重新加载以下规则文件
auditctl -R /etc/audit/rules.d/audit.rules
4可以查看一下规则是否成功加载
auditctl -l 5然后需要修改一下配置文件
vim /var/ossec/etc/ossec.conf
将一下内容增加到locafile文件的最后 localfilelog_formatsyslog/log_formatlocation/var/log/auidt/audit.log/location/localfile 这里的意思就是监控环境变量
最后重启客户端的wazuh-agent代理服务即可
systemctl restart wazuh-agent
6我们现在可以在服务端监控客户端的ld.so.preload文件中试着写一个文件看看规则是否会生效 然后试着执行任意命令 可以看到由于在执行命令前会加载该文件中的so文件但是由于我们随意写了一个文件就报错说没有该文件但是确实是加载了
然后我们查看一下日志文件
tail /var/log/audit/audit.log 可以看到日志文件也记录了该日志
wazuh配置
1编辑触发规则
进入到目录/var/ossec/etc/rules
增加规则vim local_rules.xml
规则内容
将一下内容增加到该文件下面rule id100125 level10if_sid80700/if_sidfield nameaudit.keypossible_preload_hijack/fielddescription[Config file ld.so.preload has been added, modified, or deleted]: Possible dynamic linker hijacking/descriptionmitreidT1574.006/id/mitre/rule注这里不在/var/ossec/ruleset/rules目录中写而是在ossec/rules/ruleset/etc/rules/用户自定义目录写是因为当wazu升级后如果写在前面的目录由于系统会自动更细自己写的规则会被删除但是自定义的规则就不会被删除
2重启服务
systemctl restart wazuh-manager.service
3然后在客户端模拟恶意用户试着给ls.so.preload文件中增加一个.so文件 4然后在wazuh中查看一下安全事件 可以看到了因为客户端的ld.so.preload文件被修改因此wazu上产生了该事件的警告
3、检测SQL注入
不知道SQL注入的小伙伴可以简单的这样理解sql注入即可SQL 注入是一种攻击攻击者将恶意代码插入到传输到数据库服务器的字符串中进行解析和执行。成功的 SQL 注入攻击会导致对数据库中包含的机密信息进行未经授权的访问。
本实验中我模拟sql注入的行为对ubuntu主机的服务进行sql注入行为然后在wazuh中进行检测
ubuntu配置
执行以下步骤安装 Apache 并配置 Wazuh 代理以监视 Apache 日志。 更新本地软件包并安装 Apache Web 服务器 sudo apt update
apt install apache2 如果防火墙已启用请将其修改为允许外部访问 Web 端口如果防火墙已禁用请跳过此步骤。 ufw app list
ufw allow Apache
ufw status 检查 Apache 服务的状态以验证 Web 服务器是否正在运行 systemctl status apache2 使用curl命令或http://UBUNTU_IP在浏览器中打开查看Apache登陆页面并验证安装 将以下行添加到 Wazuh 代理/var/ossec/etc/ossec.conf文件中这允许 Wazuh 代理监控 Apache 服务器的访问日志 localfilelog_formatapache/log_formatlocation/var/log/apache2/access.log/location/localfile6 . 重新启动 Wazuh 代理以应用配置更改
systemctl restart wazuh-agent
攻击模拟
1我们模拟攻击者的SQL注入行为
curl -XGET http://UBUNTU_IP/users/?idSELECT*FROMusers; 当然也可以在浏览器中使用GET传参的方式注入 2然后查看以下apache2的日志
cat /var/log/apache2/access.log 可以看到有记录我们访问的日志
3那么再看来看看wazuh那么有没有产生安全事件 可以看到这里产生了安全日志
有的小伙伴会说为什么这里在wazuh上没有像上面检测ld_preload那样编辑一个sql注入的触发规则呢原因是wazuh已经将sql注入相关的规则内置在规则里面了不需要我们手动编写直接使用即可
4、主动响应
现在我们已经可以检测一些攻击者的攻击事件了那么检测后如何进行主动响应来进行防御呢
下面我们就以SQL注入为例来演示一下使用wazuh来进行主动响应
主动响应我们主要是在服务端配置本例中使用wazuh主机上进行配置
1进入/var/ossec/etc目录中
2编辑配置文件 vim ossec.conf
找到active respone部分将以下内容增加进去
commandnamehost-deny/nameexecutablehost-deny/executabletimeout_allowedyes/timeout_allowed
/command 这里的意思是增加了一个命令名为host-deny
但是只有命令是不行的还需要有调用命令的调用
3增加调用
active-responsecommandhost-deny/commandlocationlocal/locationrules_id31103,31171/rules_id
/active-response 4添加完成后重启
systemctl restart wazuh-manager5现在我们模拟恶意用户使用SQL注入攻击ubuntu主机 可以看到现在我们再次访问时就已经无法访问了 那么我们来看看ubuntu主机中的host.deny文件 6使用firewall命令也可以实现同样的效果
只需要将调用修改为调用firewall命令即可
active-responsecommandfirewall-drop/commandlocationlocal/locationrules_id31103,31171/rules_id
/active-response 7然后使用同样的方法来访问就会发现出现同样的效果 8在iptables中查看 当然wazuh还可以检测防御的还有很多这里就不再介绍详细的可以见参考链接
参考链接
Detecting common Linux persistence techniques with Wazuh
How to configure active response - Active response
