Wazuh检测Shellshock攻击

admin 2025年5月3日20:04:29评论2 views字数 718阅读2分23秒阅读模式
点击蓝字,立即关注

1.简介

1.1 功能简介

Wazuh 能够通过分析从受监控端点收集的Web服务器日志来检测Shellshock攻击。

1.2 测试环境

端点

描述

Ubuntu 22.04

运行 Apache 2.4.54 Web 服务器的受害者端点

Kali 

模拟向受害者的 Web 服务器发送恶意 HTTP 请求

2.Linux环境配置

2.1Ubuntu配置

1)安装Apache Web服务器

sudo apt update
sudo apt install apache2

2)添加外部访问WEB端口

sudo ufw app list
sudo ufw allow 'Apache'
sudo ufw status

3)启动Apache服务

sudo systemctl start apache2
sudo systemctl status apache2
Wazuh检测Shellshock攻击

4)监控Apache日志

这将 Wazuh 代理设置为监视 Apache 服务器的访问日志

<localfile>
    <log_format>syslog</log_format>
    <location>/var/log/apache2/access.log</location>
</localfile>
Wazuh检测Shellshock攻击

5)重启wazuh代理服务

sudo systemctl restart wazuh-agent

2.2攻击测试

1)执行攻击命令

sudo curl -H "User-Agent: () { :; }; /bin/cat /etc/passwd" 192.168.208.151
Wazuh检测Shellshock攻击

2.3查看告警

1)查看日志告警

查询语法:rule.description:Shellshock attack detected

Wazuh检测Shellshock攻击
END
Wazuh检测Shellshock攻击

入群成长交流

关注小助理微信

原文始发于微信公众号(安全孺子牛):Wazuh检测Shellshock攻击

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月3日20:04:29
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Wazuh检测Shellshock攻击https://cn-sec.com/archives/4027165.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息