Ossec 配置实例-php教程-PHP中文网

首页

后端开发

php教程

Ossec 配置实例

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 20, 2016 pm 12:27 PM

监控文件/目录

修改ossec.conf配置文件，加入以下内容：

/opt/web #检测目录

/var/web/upload #忽略upload目录检测

/var/web/config .conf #忽略config.conf文件检测

监控web日志

修改ossec.conf配置文件，加入以下内容：

apache #日志格式

/var/log/nginx/error .log #web日志路径

入侵检测

修改ossec.conf配置文件标签定义的规则文件，达到入侵检测的目的。

比如某种后门会在/tmp目录下生成mcrootkit文件，在/var/ossec/etc/shared/rootkit_files.txt文件中添加如下内容：

tmp/mcrootkit ! Bash door ::/rootkits/bashdoor.php

邮件通知信息

OSSEC HIDS Notification. 2015 Jul 07 18:19:14 Received From: (web-10-10-51-51) 10.10.51.51->rootcheck

Rule: 510 fired (level 7) -> "Host-based anomaly detection event (rootcheck)."

Portion of the log(s):

Rootkit 'Bash' detected by the presence of file '/tmp/secrootkit' .

--END OF NOTIFICATION

自动响应

添加ddos_rules.xml文件到ossec.conf配置文件中

ddos_rules.xml

建立防CC攻击规则

# cat /var/ossec/rules/ddos_rules.xml

#定义rule id

31108 #判断rule id 31108

^/*.php #匹配URL地址中包含任何php文件

CC ATTACKS URL #描述

31177

CC ATTACKS

DDOS

说明：

60秒内同一IP访问php文件超过10次，触发脚本

匹配urle id 为31108的日志中URL包含任何php文件

关于rule id 31108 规则详细定义，请查看web_rules.xml文件。

31100

^2|^3

is_simple_http_request

Ignored URLs (simple queries).

说明：rule id 31108是匹配web日志2x,3x访问代码。有效过滤了404，403等错误页面

配置自动响应

在ossec.conf配置文件中，添加如下内容：

firewall-drop #命令名称

firewall-drop.sh #执行脚本

srcip #脚本参数，客户端IP

yes #允许超时

firewall-drop #自动响应命令名称，上面定义

local #脚本执行位置，local表示agent端

31178 #触发rule id

600 #超时时间

自定义规则

在日志中过滤字符串，比如日志中出现admin_backdoor，触发报警

添加test_rules.xml文件到ossec.conf配置文件中

test_rules.xml

创建过滤规则

#vi /var/ossec/rules/test_rules.xml

admin_backdoor #decode名称

admin_backdoor access

配置decoder.xml文件

# cat /var/ossec/etc/decoder.xml

#decoder名称，与test_rules.xml名称匹配

^admin_backdoor #匹配字符串admin_backdoor

报警信息:

[root@ossec-server-10-10-51-50 /var/ossec]# ./bin/ossec-logtest

2015 /07/07 19:48:20 ossec-testrule: INFO: Reading local decoder file .

2015 /07/07 19:48:20 ossec-testrule: INFO: Started (pid: 16189).

ossec-testrule: Type one log per line.

admin_backdoor #输入字符串

**Phase 1: Completed pre-decoding.

full event: 'admin_backdoor'

hostname : 'ossec-server-10-10-51-50'

program_name: '(null)'

log: 'admin_backdoor'

**Phase 2: Completed decoding.

decoder: 'admin_backdoor'

**Phase 3: Completed filtering (rules).

Rule id : '7777' #匹配到rule id 8888

Level: '7'

Description: 'admin_backdoor access' #描述，上面定义好的

**Alert to be generated.

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

您如何防止与会议有关的跨站点脚本（XSS）攻击？Apr 23, 2025 am 12:16 AM

要保护应用免受与会话相关的XSS攻击，需采取以下措施：1.设置HttpOnly和Secure标志保护会话cookie。2.对所有用户输入进行输出编码。3.实施内容安全策略(CSP)限制脚本来源。通过这些策略，可以有效防护会话相关的XSS攻击，确保用户数据安全。

您如何优化PHP会话性能？Apr 23, 2025 am 12:13 AM

优化PHP会话性能的方法包括：1.延迟会话启动，2.使用数据库存储会话，3.压缩会话数据，4.管理会话生命周期，5.实现会话共享。这些策略能显着提升应用在高并发环境下的效率。

什么是session.gc_maxlifetime配置设置？Apr 23, 2025 am 12:10 AM

thesession.gc_maxlifetimesettinginphpdeterminesthelifespanofsessiondata，setInSeconds.1）它'sconfiguredinphp.iniorviaini_set（）.2）abalanceIsiseededeedeedeedeedeedeedto to to avoidperformance andununununununexpectedLogOgouts.3）

您如何在PHP中配置会话名？Apr 23, 2025 am 12:08 AM

在PHP中，可以使用session_name()函数配置会话名称。具体步骤如下：1.使用session_name()函数设置会话名称，例如session_name("my_session")。2.在设置会话名称后，调用session_start()启动会话。配置会话名称可以避免多应用间的会话数据冲突，并增强安全性，但需注意会话名称的唯一性、安全性、长度和设置时机。

您应该多久再生一次会话ID？Apr 23, 2025 am 12:03 AM

会话ID应在登录时、敏感操作前和每30分钟定期重新生成。1.登录时重新生成会话ID可防会话固定攻击。2.敏感操作前重新生成提高安全性。3.定期重新生成降低长期利用风险，但需权衡用户体验。

如何在PHP中设置会话cookie参数？Apr 22, 2025 pm 05:33 PM

在PHP中设置会话cookie参数可以通过session_set_cookie_params()函数实现。1)使用该函数设置参数，如过期时间、路径、域名、安全标志等；2)调用session_start()使参数生效；3)根据需求动态调整参数，如用户登录状态；4)注意设置secure和httponly标志以提升安全性。