wazuh--sql检测

官网：Virtual Machine (OVA) - Installation alternatives

Wazuh(Wazuh · The Open Source Security Platform)：是一整套基于ossec安全检测工具和EFK日志工具构成的终端安全管理工具。不管是将其分类至HIDS，还是EDR，它都是一套通过监控主机日志行为，提供安全检测、分析和完整报告的开源、免费利器。Wazuh基于C/S架构，它的Agent支持Windows、MacOS、Linux、HP-UX、AIX等主流操作系统。其服务端负责提供认证和数据收集，然后通过filebeat进行日志清洗，最后导入ElasticSearch，通过Kinbana进行展示和输出日志。它不仅可以收集主机的事件日志进行一般的入侵检测功能，还可以通过第三方提供的系统漏洞检测feed文件，来实现主机的漏洞扫描和合规检查

安装

安装跟着官方文档一步步安装 就行了

仓库安装

 

  ova虚拟机安装

 

3.添加代理

我们只是安装了wazuh的服务端，我们需要让其他服务器成为wazuh的客户端，也就是添加代理，端口号为1514。

 

规则·

wazuh的规则在/var/ossec/ruleset/rules目录下

用户处于/var/ossec/etc/rules

 

可以查看检测木马的脚本

主动响应

根据官方文档

 我们根据官方文档的步骤，重新查看我们的audit的规则

[root@localhost ~]# aduditctl  -l

 我们再查看/var/log/audit，可以发现我们添加的规则已经触发

 我们在/etc/ld.so.preload中随意写入一个so文件，来手动触发这个规则。

 

sql 注入检测

在客户端中添加需要检测的日志

 

    apache
    /var/log/httpd/access.log
 

 

在写一个sql注入语句

your ip/?id=1%27%20select%201,2,3--+ 

 在Apache上查看日志

 192.168.128.1--[23/Aug/2023:19:00:01 +0800]"GE/?d=1%27%20select%2012 3""Mozilla/5.0 (windows NT 10.0; Win64; x64)ApplewebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 safari/537.36 Edg/116.0.1938.54" --+ HTTP/1.1" 200 79876"

然后再wazuh会看见