1.简介
1.1 功能简介
Wazuh 能够通过分析从受监控端点收集的Web服务器日志来检测Shellshock攻击。
1.2 测试环境
|
端点 |
描述 |
|
Ubuntu 22.04 |
运行 Apache 2.4.54 Web 服务器的受害者端点 |
|
Kali |
模拟向受害者的 Web 服务器发送恶意 HTTP 请求 |
2.Linux环境配置
2.1Ubuntu配置
1)安装Apache Web服务器
sudo apt update
sudo apt install apache22)添加外部访问WEB端口
sudo ufw app list
sudo ufw allow 'Apache'
sudo ufw status3)启动Apache服务
sudo systemctl start apache2
sudo systemctl status apache2
4)监控Apache日志
这将 Wazuh 代理设置为监视 Apache 服务器的访问日志
<localfile>
<log_format>syslog</log_format>
<location>/var/log/apache2/access.log</location>
</localfile>
5)重启wazuh代理服务
sudo systemctl restart wazuh-agent2.2攻击测试
1)执行攻击命令
sudo curl -H "User-Agent: () { :; }; /bin/cat /etc/passwd" 192.168.208.151
2.3查看告警
1)查看日志告警
查询语法:rule.description:Shellshock attack detected
入群成长交流
关注小助理微信
原文始发于微信公众号(安全孺子牛):Wazuh检测Shellshock攻击
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论