网络攻防学习笔记 Day126

WSUS（Windows Server Update Service）就是微软提供的补丁管理工具，WSUS 支持微软公司全部产品的更新，包括 Office、SQL Server、MSDE 和 Exchange Server 等内容。通过 WSUS 这个内部网络中的 Windows 升级服务，所有 Windows 更新都集中下载到内部网的 WSUS 服务器中，而网络中的客户机通过 WSUS 服务器来得到更新。

溯源分析的目的如下：

确定入侵时间和途径。

定位病毒/木马位置。

确定攻击轨迹和危害。

取样分析。·病毒/木马清除。

围绕着上述目的，可从系统、服务、文件、网络四个部分进行，每部分相互重叠、相互关联。

Heartbleed（心脏滴血）：OpenSSL Heartbleed 模块存在一个 BUG，问题存在于 ssl/dl_both.c 文件中的心跳部分，当攻击者构造一个特殊的数据包，采用的数据超过用户心跳包中的数据限制，会导致 memcpy 函数把 SSLv3 记录之后的数据直接输出。该漏洞导致攻击者可以远程读取存在漏洞版本的 OpenSSL 服务器内存中多达 64KB 的数据。此漏洞影响力较大，互联网中绝大多数网站均受到这个漏洞的影响。

若命令被篡改，可以使用https://www.virustotal.com/、https://habo.qq.com/等在线分析软件，确定是否为病毒/木马，同时记录修改时间。这里需要说明的是，校验 md5 值在大多数情况下是可行的，但是如果使用了 prelink，那么命令的 md5 值会发生改变，可以使用 prelink-au 命令取消已经做的预连接。

在日志文件中查询执行过的特殊命令：

egrep'(select|script|acunetix|sqlmap)' /var/log/httpd/access_log

关注 Content-Length 过大的请求，例如过滤 Content-Length 大于 5MB 的日志：

awk'{if($10>5000000){print$0}}' /var/log/httpd/access_log

关注访问频次比较多的 POST 请求：

grep 'POST' /var/log/httpd/access_log |  awk'{print $1} '|sort |uniq -c |sort -nr

显示出所有处于监听状态的应用程序及进程号和端口号：

netstat -aultnp

查看已建立的网络连接：

netstat -aultnp | grep ESTBLISHEDlsof -l

查看端口占用情况：

netstat -apn | grep 8080lsof -i:8080

主机入侵检测系统（Host-based Intrusion Detection System，HIDS）的主要作用为检测系统的部分或者全部的主机行为、整个计算机的状态，可以作为多层防御中主机防御的重要组成部分。

OSSEC 是一款开源的 HIDS，客户端兼容市面上大部分操作系统，是一款比较实用的 HIDS。OSSEC 主要有以下功能：

文件完整性检测：可以检测实时文件、Windows 注册表等的变更情况。

日志分析：根据设定的规则，对指定的日志进行分析，OSSEC 本身也提供大量的规则。

Rootkit 检测：检测 Rootkit 或恶意软件，不过笔者觉得效果不是非常理想。

关联响应（active-response）：可以通过操作系统内部防火墙（Linux）等行为自动阻断攻击（慎用）。其官方网站为https://www.ossec.net/。

Osquery（https://www.osquery.io/）是 Facebook 公司为系统管理、运维开发的一款管理工具，适用于 OS X/macOS、Windows 和 Linux，可以使用 SQL 语句直接查询系统环境变量、进程运行状况、资源占用等，也可以对文件设置完整性监控，以及检测网络连接等功能。

Wazuh（https://wazuh.com/）是一个安全检测、可视化和安全合规开源项目。它最初是 OSSEC HIDS 的一个分支，后来与 Elastic Stack 和 OpenSCAP 集成在一起，发展成一个更全面的解决方案。其核心功能依旧为 OSSEC 功能，加上 OpenSCAP 的漏洞扫描管理能力，将所有日志、数据通过 Filebeat 传入 Elasticsearch，最后可视化由 Kibana 提供。