網絡安全Day16

Centos7安裝osquery

6.2.2 osquery+Kolide Fleet

6.2.3 Tripwire

6.3 黑帽SEO術語

---

Centos7安裝osquery

osquery簡介

 

 

osquery是一個由FaceBook開源用於對系統進行查詢、監控以及分析的一款軟件。

支持的操做系統也特別的多：MacOS、CentOS、Ubuntu、Windows等

將操做系統看成是一個關係型數據庫,使用SQL語句的方式去查詢操做系統中的信息

 

OSQUERY是運行於操做系統層面的監測工具

官網地址：https://osquery.io/

惟一不足的地方官網沒有提供管控平臺

 

osquery 安裝

 

Centos7安裝osquery

 

安裝yum源

rpm -ivh https://osquery-packages.s3.amazonaws.com/centos7/noarch/osquery-s3-centos7-repo-1-0.0.noarch.rpm

安裝

yum install osquery.x86_64 –y

官網： https://osquery.io/downloads/official/3.3.2

配置

cp /usr/share/osquery/osquery.example.conf /etc/osquery/osquery.conf

osqueryi(交互式模式)、osqueryd(後臺進程模式)。

啓動

systemctl start osqueryd

執行

osqueryi

.table 能夠顯示當前操做系統的可顯示的信息

查看系統信息：select * from system_info;

https://osquery.io/schema/3.3.2

查看OS版本：select * from os_version;

查看內核信息版本：SELECT * FROM kernel_info;

內存信息：select * from memory_info;

查詢用戶信息：select * from users;

檢查計劃任務：select * from crontab;

日誌

/var/log/osquery/     存儲日誌

osqueryd.INFO          後臺運行是的狀況

osqueryd.results.log  執行查詢結果（差別結果）只有有改變才生成

osqueryd.snapshots.log 執行查詢的結果

配置文件

Options

   osquery daemon的一些配置，日誌產生路徑、線程數等

Schedule

  設置定時任務

Packs

  規則

MITRE ATT&CK框架:

https://github.com/teoseller/osquery-attck

主機信息監控規則

https://github.com/grayddq/HIDS

 

 

 

---

osquery+Kolide Fleet

Kolide Fleet是爲安全專家量身打造的最早進的主機監控平臺。利用Facebook久經考驗的osquery項目。

 

安裝mysql

wget https://repo.mysql.com//mysql80-community-release-el7-1.noarch.rpm

rpm -ivh mysql80-community-release-el7-1.noarch.rpm

yum update

yum install mysql-community-server.x86_64 mysql-community-client.x86_64 -y

systemctl start mysqld

cat /var/log/mysqld.log 

登錄，修改密碼

mysql> alter user "root"@"localhost" identified by "Root123...";

create database kolide;

 

安裝redis

wget http://download.redis.io/redis-stable.tar.gz

tar zxf redis-stable.tar.gz

cd redis-stable

make  

make install

cp redis.conf /etc/redis.conf

redis-server /etc/redis.conf

 

安裝Fleet

wget https://dl.kolide.co/bin/fleet_latest.zip

unzip fleet_latest.zip 'linux/*' -d fleet

拷貝執行命令到bin目錄

cp fleet/linux/fleet /usr/bin/fleet

cp fleet/linux/fleetctl /usr/bin/fleetctl

鏈接數據庫

/usr/bin/fleet prepare db --mysql_address=127.0.0.1:3306 --mysql_database=kolide --mysql_username=root --mysql_password=Root123...

 

配置證書

openssl genrsa -out /etc/pki/tls/private/server.key 4096

openssl req -new -key /etc/pki/tls/private/server.key -out /etc/pki/tls/certs/server.csr

openssl x509 -req -days 366 -in /etc/pki/tls/certs/server.csr -signkey /etc/pki/tls/private/server.key -out /etc/pki/tls/certs/server.cert

 

建立日誌目錄

mkdir /var/log/kolide

 

啓動服務

/usr/bin/fleet serve \

    --mysql_address=127.0.0.1:3306 \

    --mysql_database=kolide \

    --mysql_username=root \

    --mysql_password=password \

    --redis_address=127.0.0.1:6379 \

    --server_cert=/etc/pki/tls/certs/server.cert \

    --server_key=/etc/pki/tls/private/server.key \

    --logging_json \

    --osquery_result_log_file=/var/log/kolide/osquery_result \

    --osquery_status_log_file=/var/log/kolide/osquery_status

 

利用osquery推送主機

建立密鑰

echo 'OB+ltcnAmEqykZXNthWNRv4qQMh9Rp0b' > /var/osquery/enroll_secret

#配置證書，證書下載位置如圖，下載完成後進行更名

mv 192.168.78.128_8080.pem /var/osquery/server.pem

 

執行osqueryd

/usr/bin/osqueryd \

    --enroll_secret_path=/var/osquery/enroll_secret \

    --tls_server_certs=/var/osquery/server.pem \

    --tls_hostname=192.168.78.128:8080 \

    --host_identifier=hostname \

    --enroll_tls_endpoint=/api/v1/osquery/enroll \

    --config_plugin=tls \

    --config_tls_endpoint=/api/v1/osquery/config \

    --config_tls_refresh=10 \

    --disable_distributed=false \

    --distributed_plugin=tls \

    --distributed_interval=3 \

    --distributed_tls_max_attempts=3 \

    --distributed_tls_read_endpoint=/api/v1/osquery/distributed/read \

    --distributed_tls_write_endpoint=/api/v1/osquery/distributed/write \

    --logger_plugin=tls \

    --logger_tls_endpoint=/api/v1/osquery/log \

    --logger_tls_period=10

---

Tripwire

Tripwire簡介

 

Tripwire是一個免費的開源入侵檢測系統（IDS）。 它是用於監視和警告系統上文件更改的安全工具。可使用它來監控您的系統文件，包括網站文件。

與其餘入侵檢測系統 (IDS) 相比，Tripwire 確實有其自身的缺點。可是，因爲它是開源的，這些缺點很快會被忘記。

 

Tripwire提供了四種算法

CRC32

MD5

SHA

HAVAL

一般用前兩種，後兩種消耗系統資源比較大

 

安裝配置Tripwire

 

yum install epel-release

yum -y install tripwire

cd /etc/tripwire/

twcfg.txt 存放報告文件的位置

twpol.txt  策略的問題

生成新的tripwire密鑰文件

tripwire-setup-keyfiles

初始化

tripwire --init

sh -c "tripwire --check | grep Filename > no-directory.txt「把不存在的文件打印出來

for f in $(grep "Filename:" no-directory.txt | cut -f2 -d:); do sed -i "s|\($f\) |#\\1|g" /etc/tripwire/twpol.txt done 在不存的文件前加#， 註釋掉

 從新生成並從新簽署tripwire配置

twadmin -m P /etc/tripwire/twpol.txt

從新初始化tripwire

tripwire --init

tripwire --check

查看變更

 

添加策略

vim /etc/tripwire/twpol.txt

(

   rulename = "server run",       報警級別

   severity= $(SIG_HI)         

)

{

         /etc/init.d        -> $(SEC_CRIT);      監控的目錄

}

 

從新生成

twadmin -m P /etc/tripwire/twpol.txt

---

黑帽SEO術語

SEO

搜索引擎優化

 

白帽SEO，經過公正SEO手法，優化搜索引擎

黑帽SEO，經過做弊手段，讓站點排名快速提高 （黑鏈，網站劫持）

 

泛站羣：www.aaa.com.baidu.com  

泛端口站羣：主要在IIS裏面批量建立站點

站中站：有名網站中建立外連接

蜘蛛池、寄生蟲

PR劫持（301，302跳轉，把目標URL當成實際收錄的URL） html->head->JS

隱藏頁面、垃圾連接

網站劫持：客戶端劫持、服務端劫持、快照劫持

 

 

清楚html、廣告文件、JS惡意代碼、php等腳本文件

D盾掃描WebShell、惡意腳本

 

BurpSuite攔截請求，HTTP請求過程

nginx Rwriter重寫