查看: 131754|回复: 1318

AIDE高级入侵检测+邮件告警

[复制链接]
  • TA的每日心情

    2020-4-12 22:16
  • 签到天数: 71 天

    [LV.6]常住居民II

    发表于 2015-12-21 20:55:22 | 显示全部楼层 |阅读模式
    本帖最后由 以谁为师 于 2016-3-17 10:57 编辑

    AIDE(Adevanced Intrusion Detection Environment,高级入侵检测环境)是个入侵检测工具,主要用途是检测文件篡改的机制——不仅仅是文件内容,也包括它们的属性


    Redhat/Centos
    安装
    yum install aide


    将自己站点加入到配置
    vi /etc/aide.conf
    [Shell] 纯文本查看 复制代码
    MyRule = p+u+g
    /www MyRule
    ! /www/uploads/
    ! /www/cache/
    ! /www/tmp/

    #我设置了对网站进行校验(p权限 u用户 g组),(!)忽略子目录
    默认配置文件是/etc/aide.conf,该文件介绍了几个示例保护规则(如FIPSR,NORMAL,DIR,DATAONLY),各个规则后面跟着一个等号以及要检查的文件属性列表,或者某些预定义的规则(由+分隔)。你也可以使用此种格式自定义规则。
    例如,上面的例子说明,NORMAL规则将检查下列属性的不一致性:权限(p)、索引节点(i)、链接数(n)、用户(u)、组(g)、大小(s)、修改时间(m)、创建时间(c)、ACL(acl)、SELinux(selinux)、xattrs(xattr)、SHA256/SHA512校验和(sha256和sha512)。


    初始化监控数据库
    /usr/sbin/aide -c /etc/aide.conf -i
    把当前初始化的数据库作为开始的基础数据库
    mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz


    重构数据库(正常的改动 更新改动到基础数据库)
    aide --update
    或者aide -u
    覆盖替换旧的数据库
    cd /var/lib/aide/ &&mv aide.db.new.gz aide.db.gz -f


    手动安全校验
    aide --check



    告警设置
    vi /home/aide.sh
    [Shell] 纯文本查看 复制代码
    #!/bin/bash
    MAILUSER='admin@attacker.club'
    #定义发送的邮箱
    log=/home/report-`date +%Y%m%d`.txt
    #定义日志存放路径
    
    aide -C --report=file:$log >/dev/nell 2>&1
    grep differences $log
    #校验对比
    
    if [ $? -eq 0 ];then
      cat $log| /bin/mail -s "安全报告 IP:$(ip add |grep global |awk  '{print $2}'|cut -d / -f 1 |grep $(route |grep default |awk  '{print $2}'|cut -d "." -f 1,2)) [$(uname -n)] at $(date +'%b %e %H:%M')" $MAILUSER
    aide -u
    mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz -f
    #与基础库对比,有改变则向管理员发送报告,同时更新基础数据库。
    fi
    
    find /home/ -name "aide-report-*.txt"  -mtime +60 -exec rm -rf {} \;
    #删除60天前日志


    循环脚本(防止计划被入侵者找到)
    vi /home/defend
    [Shell] 纯文本查看 复制代码
    #!/bin/bash
    while true ;do
    /home/aide.sh >/dev/null 2>&1
    sleep 7200
    done
    #两小时运行一次


    启动命令
    [Shell] 纯文本查看 复制代码
    chmod +x aide.sh
    chmod +x defend
    nohup ./defend &  >/dev/nell 2>&1 



    外部邮箱配置
    yum install mailx

    vi /etc/mail.rc
    set from=xxx@163.com
    set smtp=smtp.163.com
    set smtp-auth-user=xxx@163.com
    set smtp-auth-password=xxxxxxx
    set smtp-auth=login

    效果图
    QQ图片20160116103410.png

    评分

    参与人数 1i币 -1 收起 理由
    乌陵Urim -1 感谢分享

    查看全部评分

    回复

    使用道具 举报

    该用户从未签到

    发表于 2015-12-21 23:27:06 | 显示全部楼层
    还是不错的哦,顶了
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2016-3-4 11:35
  • 签到天数: 3 天

    [LV.2]偶尔看看I

    发表于 2015-12-22 08:05:30 | 显示全部楼层
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2019-2-12 22:05
  • 签到天数: 2 天

    [LV.1]初来乍到

    发表于 2015-12-22 08:12:53 | 显示全部楼层
    感谢楼主的分享~
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2021-12-20 19:06
  • 签到天数: 554 天

    [LV.9]以坛为家II

    发表于 2015-12-22 08:34:04 | 显示全部楼层
    这头像,,我还以为是君子呢。。。
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2015-6-21 22:12
  • 签到天数: 1 天

    [LV.1]初来乍到

    发表于 2015-12-23 01:33:42 | 显示全部楼层
    还是不错的哦,顶了
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-12-23 03:14:42 | 显示全部楼层
    支持中国红客联盟(ihonker.org)
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-12-23 04:08:47 | 显示全部楼层
    感谢楼主的分享~
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-12-23 11:09:00 | 显示全部楼层
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    郁闷
    2016-4-13 21:38
  • 签到天数: 1 天

    [LV.1]初来乍到

    发表于 2015-12-23 21:46:52 | 显示全部楼层
    学习学习技术,加油!
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-12-23 01:27 , Processed in 0.029065 second(s), 22 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部