Logic/hugo
1
0
Fork 0
mirror of https://gitlab.com/game-loader/hugo.git synced 2025-04-20 05:52:07 +08:00
Code Issues Actions Packages Projects Releases Wiki Activity

change file

Browse Source
This commit is contained in:
gameloader 2022-03-24 09:41:19 +08:00
parent 3172ce14db
commit 68abf6a66d
1 changed files with 55 additions and 9 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

64
content/posts/ex2.md
View File

@ -1,6 +1,6 @@
+++
title = "Ex2"
author = "Logic"
author = ["Logic"]
date = 2022-03-23
draft = false
+++
@ -15,31 +15,45 @@ draft = false
在C盘tools文件夹下找到OSSEC安装包并安装
![](https://fastly.jsdelivr.net/gh/game-loader/picbase@master/uPic/03238ffYqP.png)
输入OSSEC服务器地址并保存
![](https://fastly.jsdelivr.net/gh/game-loader/picbase@master/uPic/0323sDC3iO.png)
使用putty远程登陆OSSIM服务器
![](https://fastly.jsdelivr.net/gh/game-loader/picbase@master/uPic/0323aa2XZF.png)
启动OSSEC代理管理程序
![](https://fastly.jsdelivr.net/gh/game-loader/picbase@master/uPic/0323ABExuX.png)
创建代理并生成密钥
![](https://fastly.jsdelivr.net/gh/game-loader/picbase@master/uPic/03230MF1k8.png)
![](https://fastly.jsdelivr.net/gh/game-loader/picbase@master/uPic/0323jz7c0u.png)
{{< figure src="https://fastly.jsdelivr.net/gh/game-loader/picbase@master/uPic/0323jz7c0u.png" >}}
将密钥输入OSSEC AGENT管理器窗口保存
![](https://fastly.jsdelivr.net/gh/game-loader/picbase@master/uPic/03230qvYU6.png)
重启服务器的OSSEC程序
![](https://fastly.jsdelivr.net/gh/game-loader/picbase@master/uPic/0323KU8Id5.png)
查看OSSEC AGENT状态信息
![](https://fastly.jsdelivr.net/gh/game-loader/picbase@master/uPic/0323kx2LUt.png)
在服务端查看AGENT状态发现为never connected
![](https://fastly.jsdelivr.net/gh/game-loader/picbase@master/uPic/0323X7htCV.png)
在windows查看ossec的log信息发现如下
![](https://fastly.jsdelivr.net/gh/game-loader/picbase@master/uPic/0323hE3gfE.png)
可见服务端不知为什么没有回应。服务端查看log信息看不到windows的连接请求。经过排查发现原来是二者的请求队列没有同步。在windows端有如下配置
![](https://fastly.jsdelivr.net/gh/game-loader/picbase@master/uPic/0323Dqxvfu.png)
在服务端查看/var/ossec/queue/rids/sender_counter可知
![](https://fastly.jsdelivr.net/gh/game-loader/picbase@master/uPic/0323EWowem.png)
二者请求队列不同步删掉服务端的sender_counter重启服务端和windows客户端再次查看windows客户端变为active
![](https://fastly.jsdelivr.net/gh/game-loader/picbase@master/uPic/0323P6U2JF.png)
此时windows端已变为Active(序号为008是删除后重新添加了两次)
@ -47,23 +61,35 @@ draft = false
登陆到Centos虚拟机使用SSH远程登陆到OSSIM服务器
![](https://fastly.jsdelivr.net/gh/game-loader/picbase@master/uPic/0323JZKzfY.png)
![](https://fastly.jsdelivr.net/gh/game-loader/picbase@master/uPic/0323lvJMRK.png)
{{< figure src="https://fastly.jsdelivr.net/gh/game-loader/picbase@master/uPic/0323lvJMRK.png" >}}
打开OSSEC代理管理器程序新建一个代理生成并添加密钥。
![](https://fastly.jsdelivr.net/gh/game-loader/picbase@master/uPic/0323F9lJCX.png)
![](https://fastly.jsdelivr.net/gh/game-loader/picbase@master/uPic/0323Xoj1vy.png)
![](https://fastly.jsdelivr.net/gh/game-loader/picbase@master/uPic/0323BNpNFz.png)
{{< figure src="https://fastly.jsdelivr.net/gh/game-loader/picbase@master/uPic/0323Xoj1vy.png" >}}
{{< figure src="https://fastly.jsdelivr.net/gh/game-loader/picbase@master/uPic/0323BNpNFz.png" >}}
ossec.conf在/var/ossec/etc目录下查看其内容可以看到
![](https://fastly.jsdelivr.net/gh/game-loader/picbase@master/uPic/0323NmkViT.png)
已经存在,故直接保存,重启服务端,启动代理端
![](https://fastly.jsdelivr.net/gh/game-loader/picbase@master/uPic/0323z7s4bL.png)
![](https://fastly.jsdelivr.net/gh/game-loader/picbase@master/uPic/0323DsWuZU.png)
{{< figure src="https://fastly.jsdelivr.net/gh/game-loader/picbase@master/uPic/0323DsWuZU.png" >}}
在服务端查看客户端状态
![](https://fastly.jsdelivr.net/gh/game-loader/picbase@master/uPic/0323O2dAMj.png)
发现Centos和windows都是never connected状态我们查看ossec的log文件信息。可发现如下错误
![](https://fastly.jsdelivr.net/gh/game-loader/picbase@master/uPic/0323C4sjXb.png)
缺少agent.conf文件我们创建这个文件重启客户端。再次在服务端查看客户端状态
![](https://fastly.jsdelivr.net/gh/game-loader/picbase@master/uPic/0323X7t7qh.png)
![](https://fastly.jsdelivr.net/gh/game-loader/picbase@master/uPic/0323stizxU.png)
{{< figure src="https://fastly.jsdelivr.net/gh/game-loader/picbase@master/uPic/0323stizxU.png" >}}
可见状态为Active已经成功上线。
@ -74,17 +100,24 @@ ossec.conf在/var/ossec/etc目录下查看其内容可以看到
打开火狐输入192.168.1.200,默认进入登陆页面,输入用户名和密码登陆成功
![](https://fastly.jsdelivr.net/gh/game-loader/picbase@master/uPic/0323Mm6Owx.png)
单击Analysis---&gt;Detection---&gt;HIDS---&gt;Config---&gt;Ossec.conf可以看到OSSIM集成检测平台已经默认监视了日志文件/var/log/auth.log
![](https://fastly.jsdelivr.net/gh/game-loader/picbase@master/uPic/0323liCdiQ.png)
重启OSSIM服务器重启登录成功后进入图形操作界面按Ctrl+Alt+F1切换到命令行界面输入用户名root和密码Simplexue123进行登录再输入命令exit退出登录之后按Ctrl+Alt+F7回到图形界面。
![](https://fastly.jsdelivr.net/gh/game-loader/picbase@master/uPic/0323fioHji.png)
![](https://fastly.jsdelivr.net/gh/game-loader/picbase@master/uPic/0323ikk5p4.png)
{{< figure src="https://fastly.jsdelivr.net/gh/game-loader/picbase@master/uPic/0323ikk5p4.png" >}}
在windows2012上远程连接到服务器192.168.1.200
![](https://fastly.jsdelivr.net/gh/game-loader/picbase@master/uPic/0323cK4xOh.png)
在windows2012的OSSIM Web页面上单击Analysis---&gt; Security Events (SIEM)可以看到Security Events页面中列出了OSSIM系统预设检测规则适用范围内的所有安全事件日志信息可以找到通过putty远程登录时相关的SSH登录记录报警信息。
![](https://fastly.jsdelivr.net/gh/game-loader/picbase@master/uPic/03230z7fmO.png)
OSSIM监测到的SShd登录成功的报警日志的signature信息为
![](https://fastly.jsdelivr.net/gh/game-loader/picbase@master/uPic/0323lpcx9H.png)
在OSSIM web页面搜索框输入ossec回车进行ossec报警数据过滤
![](https://fastly.jsdelivr.net/gh/game-loader/picbase@master/uPic/0323rixBKZ.png)
@ -93,17 +126,24 @@ OSSIM监测到的SShd登录成功的报警日志的signature信息为
使用putty工具远程登录OSSIM服务器在打开的终端中使用CD命令进入“/var/ossec/rules”目录该目录为OSSEC服务器的检测规则文件存储目录并使用ls命令查看所有的OSSEC服务器端检测规则文件。
![](https://fastly.jsdelivr.net/gh/game-loader/picbase@master/uPic/0323cKMDTa.png)
使用vim打开sshd_rules.xml规则文件,找到id为5719的规则将level级别设置为2该规则表示当非法用户存在2次以上远程登录尝试操作且操作时间超过30秒那么将触发非法远程登录尝试报警。修改完sshd_rules.xml文件后保存并退出vim。需注意的是这里的非法用户denied user指的是系统中存在但是被禁止通过ssh远程登陆系统的用户.
![](https://fastly.jsdelivr.net/gh/game-loader/picbase@master/uPic/03231dakyr.png)
![](https://fastly.jsdelivr.net/gh/game-loader/picbase@master/uPic/0323MkboxN.png)
{{< figure src="https://fastly.jsdelivr.net/gh/game-loader/picbase@master/uPic/0323MkboxN.png" >}}
重新启动ossec服务器以使sshd_rules.xml文件配置生效。
![](https://fastly.jsdelivr.net/gh/game-loader/picbase@master/uPic/0323xzGQaj.png)
通过putty连接到OSSIM服务器创建一个新用户deny
![](https://fastly.jsdelivr.net/gh/game-loader/picbase@master/uPic/0323pXDLem.png)
配置ssh拒绝该用户登陆
![](https://fastly.jsdelivr.net/gh/game-loader/picbase@master/uPic/03232ugcxU.png)
使用该用户多次尝试登陆服务器
![](https://fastly.jsdelivr.net/gh/game-loader/picbase@master/uPic/03236V7pkP.png)
在ossim web端输入ossec进行ossec报警信息筛选可以看到5719规则对应的报警信息
![](https://fastly.jsdelivr.net/gh/game-loader/picbase@master/uPic/0323qORvol.png)
@ -112,10 +152,13 @@ OSSIM监测到的SShd登录成功的报警日志的signature信息为
在OSSIM集成检测平台上设置规则监测CentOS7用户情况。在CentOS7终端查看代理的配置文件可以看到OSSIM集成检测平台默认监控/var/log/secure文件
![](https://fastly.jsdelivr.net/gh/game-loader/picbase@master/uPic/0323veoYmU.png)
重启OSSIM服务器192.168.1.200使用putty登陆到CentOS7
![](https://fastly.jsdelivr.net/gh/game-loader/picbase@master/uPic/0323CY8pWR.png)
添加新用户simpleware并将其密码设为Simplexue123
![](https://fastly.jsdelivr.net/gh/game-loader/picbase@master/uPic/0323h5eE1i.png)
回到OSSIM Web页面上进行OSSEC警报数据的过滤可以看到与CentOS7添加新用户相关的OSSEC报警信息。
![](https://fastly.jsdelivr.net/gh/game-loader/picbase@master/uPic/0323tU8QGv.png)
@ -131,9 +174,12 @@ OSSIM监测到的SShd登录成功的报警日志的signature信息为
保存文件
![](https://fastly.jsdelivr.net/gh/game-loader/picbase@master/uPic/0323fFZHYH.png)
重新启动OSSEC服务
![](https://fastly.jsdelivr.net/gh/game-loader/picbase@master/uPic/0323d5FyJC.png)
在windows2012IP为192.168.1.5)的火狐浏览器上新打开一个页面,访问 `http://192.168.1.6/dvwa/config`
![](https://fastly.jsdelivr.net/gh/game-loader/picbase@master/uPic/032379ET2x.png)
回到OSSIM Web页面上进行OSSEC警报数据的过滤可以看到访问禁止目录时的报警信息。
![](https://fastly.jsdelivr.net/gh/game-loader/picbase@master/uPic/0323GuGVDp.png)