欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Linux系统安全危急反应知识探讨

来源:本站整理 作者:佚名 时间:2017-09-26 TAG: 我要投稿
审计日记如下:

type=EXECVE msg=audit(1500273958.180:7500): argc=1 a0="whoami"
OSSEC监控设置装备摆设
OSSEC自己曾经包括了auditd变乱的解码规矩,比方:
decoder name="auditd">
  prematch>^type=prematch>
decoder>
.......
然则在RULES外面没有找到现成的规矩,编纂local_rules.xml,新增
group name="syslog,auditd,">
  rule id="110000" level="0" noalert="1">
    decoded_as>auditddecoded_as>
    description>AUDITD messages grouped.description>
  rule>
  rule id="110001" level="10">
    if_sid>110000if_sid>
    match>EXECVEmatch>
    description>Java execution co妹妹anddescription>
  rule>
group>
测试
[root@localhost ossec]# ./bin/ossec-logtest
2017/07/17 16:28:26 ossec-testrule: INFO: Reading local decoder file.
2017/07/17 16:28:26 ossec-testrule: INFO: Started (pid: 9463).
ossec-testrule: Type one log per line.
type=EXECVE msg=audit(1500273958.180:7500): argc=1 a0="whoami"
**Phase 1: Completed pre-decoding.
       full event: 'type=EXECVE msg=audit(1500273958.180:7500): argc=1 a0="whoami"'
       hostname: 'localhost'
       program_name: '(null)'
       log: 'type=EXECVE msg=audit(1500273958.180:7500): argc=1 a0="whoami"'
**Phase 2: Completed decoding.
       decoder: 'auditd'
**Phase 3: Completed filtering (rules).
       Rule id: '110001'
       Level: '10'
       Description: 'Java execution co妹妹and'
**Alert to be generated.
而后在Agent端增长监控文件
  localfile>
    log_format>sysloglog_format>
    location>/var/log/audit/audit.loglocation>
  localfile>
而后jspspy运行体系敕令,可以或许看到告警如下
[root@localhost ossec]# tail -f /var/ossec/logs/alerts/alerts.log
** Alert 1500280231.400419: mail  - syslog,auditd,
2017 Jul 17 16:30:31 (agent-31) 10.110.1.31->/var/log/audit/audit.log
Rule: 110001 (level 10) -> 'Java execution co妹妹and'
type=EXECVE msg=audit(1500280229.507:7665): argc=1 a0="pwd"
这里还需斟酌的一个成绩是白名单,比方公司的一些站点自己就会挪用视频处置的一些功效,也会挪用体系敕令。以是为了防止误报,必要新增一个白名单功效。
这里咱们改动一下local_rules.xml,新增白名单规矩,而且放到EXECVE规矩下面。
group name="syslog,auditd,">
  rule id="110000" level="0" noalert="1">
    decoded_as>auditddecoded_as>
    description>AUDITD messages grouped.description>
  rule>
  rule id="110001" level="0">
    if_sid>110000if_sid>
    regex>whoami|passwdregex>
    description>Java execution white listdescription>
  rule>
  rule id="110002" level="10">
    if_sid>110000if_sid>
    match>EXECVEmatch>
    description>Java execution co妹妹anddescription>
  rule>
group>
如上所示,运行whoami和cat /etc/passwd的时刻不会发生告警。
其余
假如没有经由过程上述道路找到Webshell,可以或许经由过程Access Log获得一些信息。
1)扫描特性
平日日记中会随同一些其余进击特性,比方可以或许用如下语句

egrep '(select|script|acunetix|sqlmap)' /var/log/httpd/access_log
2)拜访频次
重点存眷POST哀求

grep 'POST' /var/log/httpd/access_log | awk '{print $1}' | sort | uniq -c | sort -nr
3)Content-Length
Content-Length过大的哀求,比方过滤Content-Length大于5M的日记
awk '{if($10>5000000){print $0}}' /var/log/httpd/access_log
把稳
这里假如发明文件,不要间接用vim反省编纂文件内容,如许会变动文件的mtime,而对付应急响应来讲,光阴点很紧张。比较光阴点更轻易在Log找到其余的进击陈迹。
0x02 SSH办事
反省登录信息
登录胜利:

grep 'Accepted' /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr
或许last敕令,它会读取位于/var/log/wtmp的文件,并把该文件记载的登录体系的用户名单,全体表现进去。
登录失败:

grep 'Failed' /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr
或许lastb敕令,会读取位于/var/log/btmp的文件,并把该文件记载的登入体系失败的用户名单,全体表现进去。
反省SSH后门
1)比对ssh的版本

> ssh -V
2)反省ssh设置装备摆设文件和/usr/sbin/sshd的光阴

> stat /usr/sbin/sshd

上一页  [1] [2] [3] [4] [5] [6] [7] [8] [9]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载