网络安全Day16

Centos7安装osquery

6.2.2 osquery+Kolide Fleet

6.2.3 Tripwire

6.3 黑帽SEO术语

---

Centos7安装osquery

osquery简介

 

 

osquery是一个由FaceBook开源用于对系统进行查询、监控以及分析的一款软件。

支持的操做系统也特别的多：MacOS、CentOS、Ubuntu、Windows等

将操做系统看成是一个关系型数据库,使用SQL语句的方式去查询操做系统中的信息

 

OSQUERY是运行于操做系统层面的监测工具

官网地址：https://osquery.io/

惟一不足的地方官网没有提供管控平台

 

osquery 安装

 

Centos7安装osquery

 

安装yum源

rpm -ivh https://osquery-packages.s3.amazonaws.com/centos7/noarch/osquery-s3-centos7-repo-1-0.0.noarch.rpm

安装

yum install osquery.x86_64 –y

官网： https://osquery.io/downloads/official/3.3.2

配置

cp /usr/share/osquery/osquery.example.conf /etc/osquery/osquery.conf

osqueryi(交互式模式)、osqueryd(后台进程模式)。

启动

systemctl start osqueryd

执行

osqueryi

.table 能够显示当前操做系统的可显示的信息

查看系统信息：select * from system_info;

https://osquery.io/schema/3.3.2

查看OS版本：select * from os_version;

查看内核信息版本：SELECT * FROM kernel_info;

内存信息：select * from memory_info;

查询用户信息：select * from users;

检查计划任务：select * from crontab;

日志

/var/log/osquery/     存储日志

osqueryd.INFO          后台运行是的状况

osqueryd.results.log  执行查询结果（差别结果）只有有改变才生成

osqueryd.snapshots.log 执行查询的结果

配置文件

Options

   osquery daemon的一些配置，日志产生路径、线程数等

Schedule

  设置定时任务

Packs

  规则

MITRE ATT&CK框架:

https://github.com/teoseller/osquery-attck

主机信息监控规则

https://github.com/grayddq/HIDS

 

 

 

---

osquery+Kolide Fleet

Kolide Fleet是为安全专家量身打造的最早进的主机监控平台。利用Facebook久经考验的osquery项目。

 

安装mysql

wget https://repo.mysql.com//mysql80-community-release-el7-1.noarch.rpm

rpm -ivh mysql80-community-release-el7-1.noarch.rpm

yum update

yum install mysql-community-server.x86_64 mysql-community-client.x86_64 -y

systemctl start mysqld

cat /var/log/mysqld.log 

登录，修改密码

mysql> alter user "root"@"localhost" identified by "Root123...";

create database kolide;

 

安装redis

wget http://download.redis.io/redis-stable.tar.gz

tar zxf redis-stable.tar.gz

cd redis-stable

make  

make install

cp redis.conf /etc/redis.conf

redis-server /etc/redis.conf

 

安装Fleet

wget https://dl.kolide.co/bin/fleet_latest.zip

unzip fleet_latest.zip 'linux/*' -d fleet

拷贝执行命令到bin目录

cp fleet/linux/fleet /usr/bin/fleet

cp fleet/linux/fleetctl /usr/bin/fleetctl

链接数据库

/usr/bin/fleet prepare db --mysql_address=127.0.0.1:3306 --mysql_database=kolide --mysql_username=root --mysql_password=Root123...

 

配置证书

openssl genrsa -out /etc/pki/tls/private/server.key 4096

openssl req -new -key /etc/pki/tls/private/server.key -out /etc/pki/tls/certs/server.csr

openssl x509 -req -days 366 -in /etc/pki/tls/certs/server.csr -signkey /etc/pki/tls/private/server.key -out /etc/pki/tls/certs/server.cert

 

建立日志目录

mkdir /var/log/kolide

 

启动服务

/usr/bin/fleet serve \

    --mysql_address=127.0.0.1:3306 \

    --mysql_database=kolide \

    --mysql_username=root \

    --mysql_password=password \

    --redis_address=127.0.0.1:6379 \

    --server_cert=/etc/pki/tls/certs/server.cert \

    --server_key=/etc/pki/tls/private/server.key \

    --logging_json \

    --osquery_result_log_file=/var/log/kolide/osquery_result \

    --osquery_status_log_file=/var/log/kolide/osquery_status

 

利用osquery推送主机

建立密钥

echo 'OB+ltcnAmEqykZXNthWNRv4qQMh9Rp0b' > /var/osquery/enroll_secret

#配置证书，证书下载位置如图，下载完成后进行更名

mv 192.168.78.128_8080.pem /var/osquery/server.pem

 

执行osqueryd

/usr/bin/osqueryd \

    --enroll_secret_path=/var/osquery/enroll_secret \

    --tls_server_certs=/var/osquery/server.pem \

    --tls_hostname=192.168.78.128:8080 \

    --host_identifier=hostname \

    --enroll_tls_endpoint=/api/v1/osquery/enroll \

    --config_plugin=tls \

    --config_tls_endpoint=/api/v1/osquery/config \

    --config_tls_refresh=10 \

    --disable_distributed=false \

    --distributed_plugin=tls \

    --distributed_interval=3 \

    --distributed_tls_max_attempts=3 \

    --distributed_tls_read_endpoint=/api/v1/osquery/distributed/read \

    --distributed_tls_write_endpoint=/api/v1/osquery/distributed/write \

    --logger_plugin=tls \

    --logger_tls_endpoint=/api/v1/osquery/log \

    --logger_tls_period=10

---

Tripwire

Tripwire简介

 

Tripwire是一个免费的开源入侵检测系统（IDS）。 它是用于监视和警告系统上文件更改的安全工具。可使用它来监控您的系统文件，包括网站文件。

与其余入侵检测系统 (IDS) 相比，Tripwire 确实有其自身的缺点。可是，因为它是开源的，这些缺点很快会被忘记。

 

Tripwire提供了四种算法

CRC32

MD5

SHA

HAVAL

一般用前两种，后两种消耗系统资源比较大

 

安装配置Tripwire

 

yum install epel-release

yum -y install tripwire

cd /etc/tripwire/

twcfg.txt 存放报告文件的位置

twpol.txt  策略的问题

生成新的tripwire密钥文件

tripwire-setup-keyfiles

初始化

tripwire --init

sh -c "tripwire --check | grep Filename > no-directory.txt“把不存在的文件打印出来

for f in $(grep "Filename:" no-directory.txt | cut -f2 -d:); do sed -i "s|\($f\) |#\\1|g" /etc/tripwire/twpol.txt done 在不存的文件前加#， 注释掉

 从新生成并从新签署tripwire配置

twadmin -m P /etc/tripwire/twpol.txt

从新初始化tripwire

tripwire --init

tripwire --check

查看变更

 

添加策略

vim /etc/tripwire/twpol.txt

(

   rulename = "server run",       报警级别

   severity= $(SIG_HI)         

)

{

         /etc/init.d        -> $(SEC_CRIT);      监控的目录

}

 

从新生成

twadmin -m P /etc/tripwire/twpol.txt

---

黑帽SEO术语

SEO

搜索引擎优化

 

白帽SEO，经过公正SEO手法，优化搜索引擎

黑帽SEO，经过做弊手段，让站点排名快速提高 （黑链，网站劫持）

 

泛站群：www.aaa.com.baidu.com  

泛端口站群：主要在IIS里面批量建立站点

站中站：有名网站中建立外连接

蜘蛛池、寄生虫

PR劫持（301，302跳转，把目标URL当成实际收录的URL） html->head->JS

隐藏页面、垃圾连接

网站劫持：客户端劫持、服务端劫持、快照劫持

 

 

清楚html、广告文件、JS恶意代码、php等脚本文件

D盾扫描WebShell、恶意脚本

 

BurpSuite拦截请求，HTTP请求过程

nginx Rwriter重写