监控文件/目录 修改ossec.conf配置文件,加入以下内容:
/opt/web #检测目录
/var/web/upload #忽略upload目录检测
/var/web/config .conf #忽略config.conf文件检测
监控web日志 修改ossec.conf配置文件,加入以下内容:
apache #日志格式
/var/log/nginx/error .log #web日志路径
入侵检测 修改ossec.conf配置文件标签定义的规则文件,达到入侵检测的目的。
比如某种后门会在/tmp目录下生成mcrootkit文件,在/var/ossec/etc/shared/rootkit_files.txt文件中添加如下内容:
tmp/mcrootkit ! bash door ::/rootkits/bashdoor.php
邮件通知信息
ossec hids notification. 2015 jul 07 18:19:14 received from: (web-10-10-51-51) 10.10.51.51->rootcheck rule: 510 fired (level 7) -> host-based anomaly detection event (rootcheck).
portion of the log(s): rootkit 'bash' detected by the presence of file '/tmp/secrootkit' .
--end of notification
自动响应 添加ddos_rules.xml文件到ossec.conf配置文件中
ddos_rules.xml
建立防cc攻击规则 # cat /var/ossec/rules/ddos_rules.xml
#定义rule id
31108 #判断rule id 31108
^/*.php #匹配url地址中包含任何php文件
cc attacks url #描述
31177
cc attacks
ddos
说明:
60秒内同一ip访问php文件超过10次,触发脚本
匹配urle id 为31108的日志中url包含任何php文件
关于rule id 31108 规则详细定义,请查看web_rules.xml文件。
31100
^2|^3
is_simple_http_request
ignored urls (simple queries).
说明:rule id 31108是匹配web日志2x,3x访问代码。有效过滤了404,403等错误页面
配置自动响应 在ossec.conf配置文件中,添加如下内容:
firewall-drop #命令名称
firewall-drop.sh #执行脚本
srcip #脚本参数,客户端ip
yes #允许超时
firewall-drop #自动响应命令名称,上面定义
local #脚本执行位置,local表示agent端
31178 #触发rule id
600 #超时时间
自定义规则 在日志中过滤字符串,比如日志中出现admin_backdoor,触发报警
添加test_rules.xml文件到ossec.conf配置文件中
test_rules.xml
创建过滤规则 #vi /var/ossec/rules/test_rules.xml
admin_backdoor #decode名称
admin_backdoor access
配置decoder.xml文件 # cat /var/ossec/etc/decoder.xml
#decoder名称,与test_rules.xml名称匹配
^admin_backdoor #匹配字符串admin_backdoor
报警信息:
[root@ossec-server-10-10-51-50 /var/ossec]# ./bin/ossec-logtest
2015 /07/07 19:48:20 ossec-testrule: info: reading local decoder file .
2015 /07/07 19:48:20 ossec-testrule: info: started (pid: 16189).
ossec-testrule: type one log per line.
admin_backdoor #输入字符串
**phase 1: completed pre-decoding. full event: 'admin_backdoor'
hostname : 'ossec-server-10-10-51-50'
program_name: '(null)'
log: 'admin_backdoor'
**phase 2: completed decoding. decoder: 'admin_backdoor'
**phase 3: completed filtering (rules). rule id : '7777' #匹配到rule id 8888
level: '7'
description: 'admin_backdoor access' #描述,上面定义好的
**alert to be generated.