Jump to content

Hacker Technology

A group blog by Leader in Hacker Website - Providing Professional Ethical Hacking Services

  • Entries

    16114

  • Comments

    7952

  • Views

    86379236

Contributors to this blog

  • HireHackking 16114

About this blog

Hacking techniques include penetration testing, network security, reverse cracking, malware analysis, vulnerability exploitation, encryption cracking, social engineering, etc., used to identify and fix security flaws in systems.

HireHackking

1。 Wazhu展開アーキテクチャ

1.サーバーで実行されているエージェントは、収集されたさまざまな情報を暗号化されたチャネルを介して管理端に送信します。

2。管理側は、エージェントから受信したデータを分析し、イベントがアラームルールと一致するときにアラームをトリガーする責任があります。

3.LogStashは、Alarmログまたは監視ログをElasticSearchに送信し、最終的にKibanaの視覚化を介してログを表示します。

分散展開:さまざまなホストでWazuhサーバーと弾性スタッククラスター(1つ以上のサーバー)を実行します。

単一のホストアーキテクチャ:同じホストでWazuhサーバーと弾性スタックを実行します。

2つの主な違いは、前者がFileBeatとLogstashを使用してログ伝送を必要とし、後者はログファイルをネイティブに直接読み取ることです。

kcjimlrqsfu8496.png図1:分散展開

3oe1uknouhu8497.png図2:シングルホストアーキテクチャ

2。ソース構成を更新

ネットワーク速度が遅い場合は、国内のソフトウェアソースに変更できます。デフォルトでは使用しません。

Yum Repolist #View現在のソース

cp /etc/yum.repos.d/centos-base.repo /etc/yum.repos.d/centos-base.repo.bak #back #back up up up up up up

wget http://mirrors.aliyun.com/repo/centos-7.repo #download alibaba cloudos7ソース

wget http://mirrors.163.com/.help/centos7-base-163.Repo #Download 163 CENTOS7ソース

MVダウンロードしたソース/etc/yum.repos.d/centos-base.repo

Yum CleanすべてのYum Makecache #CleanとYumキャッシュを再構築する

タイムサーバー:

yum -y ntp ntpdate #install ntpをインストールし、ntpを更新します

ntpdate cn.ntp.org.cn #ntp設定

hwcrock-システム時間はハードウェアの時間を書きます

LN -SF/USR/SHARE/ZONEINFO/ASIA/SHANGHAI/etc/LocalTime#Linuxのタイムゾーンは上海タイムゾーンに設定されています

3。 Wazuh Manager

をインストールします

インストール環境はCENTOS7.1x64システムです

方法1:

cat /etc/yum.repos.d/wazuh.repo \ eof

[wazuh_repo]

gpgcheck=1

gpgkey=https://packages.wazuh.com/key/gpg-key-wazuh

有効=1

name=wazuhリポジトリ

baseurl=https://packages.wazuh.com/3.x/yum/

保護=1

EOF

Yum Install Wazuh-Manager

方法2:

[root@wazhu-manage〜]#cd /opt

[root@wazhu-manage opt]#wget https://packages.wazuh.com/3.x/yum/wazuh-manager-3.8.0-1.x86_64.rpm

[root@wazhu-manage opt]#chmod +x wazuh-manager-3.8.0-1.x86_64.rpm

[root@wazhu-manage opt]#rpm -ivh wazuh-manager-3.8.0-1.x86_64.rpm

[root@wazhu-manage opt] #systemctl status wazuh-manager.service

●Wazuh -Manager.Service -Wazuh Manager

Loaded: Loaded(/etc/systemd/system/wazuh-manager.service; enabled; vendor preset:無効)

Active: Active(running)2019-01-21 09:58336045 UTC; 34s前

process: 13789 execstart=/usr/bin/env $ {directory}/bin/ossec-control start(code=exited、status=0/success)

cgroup: /system.slice/wazuh-manager.service

├马云惹不起马云马云惹不起马云13819/var/ossec/bin/ossec-authd

├马云惹不起马云马云惹不起马云13823/var/ossec/bin/wazuh-db

and-13841/var/ossec/bin/ossec-execd

├马云惹不起马云马云惹不起马云13847/var/ossec/bin/ossec-analysisd

├马云惹不起马云马云惹不起马云13851/var/ossec/bin/ossec-syscheckd

├马云惹不起马云马云惹不起马云13859/var/ossec/bin/ossec連合

├马云惹不起马云马云惹不起马云13861/var/ossec/bin/ossec-logcollector

├马云惹不起马云马云惹不起马云13882/var/ossec/bin/ossec-monitord

└└。13886/var/ossec/bin/wazuh-modulesd

iv。 wazuh api

をインストールします

Wazuh APIを実行するには、nodejs=4.6.1が必要です。 nodejsがインストールされていない場合、またはバージョンが4.6.1より低い場合は、次のように公式のnodejsリポジトリを追加することをお勧めします。

[root@wazhu-manage bin]#curl - silent - location https://rpm.nodesource.com/setup_8.x |バッシュ -

[root@wazhu-manage bin]#yumインストールnodejs.x86_64

[root@wazhu -manage bin] #node -v#またはyumインストールnodejs

v6.14

Wazuh APIを実行するには、python=2.7が必要です。デフォルトでインストールされているか、ほとんどのLinuxディストリビューションの公式リポジトリに含まれています。システム上のPythonバージョンが2.7未満であるかどうかを判断するには、次のコマンドを実行できます。

[root@wazhu-manage bin]#python -version#centos7デフォルトPython2

Python 2.7.5

[root@wazhu-manage bin]#cd /opt

[root@wazhu-manage opt]#wget https://packages.wazuh.com/3.x/yum/wazuh-api-3.8.0-1.x86_64.rpm

[root@wazhu-manage opt]#ls

wazuh-api-3.8.0-1.x86_64.rpmwazuh-manager-3.8.0-1.x86_64.rpm

[root@wazhu-manage opt]#chmod +x wazuh-api-3.8.0-1.x86_64.rpm

[root@wazhu-manage opt]#rpm -ivh wazuh-api-3.8.0-1.x86_64.rpm#またはyum install wazuh-api

[root@wazhu-manage opt] #systemctl start wazuh-api

[root@wazhu-manage opt] #systemctl status wazuh-api

●wazuh -api.service -wazuh api daemon

Loaded: Loaded(/etc/systemd/system/wazuh-api.service; enabled; vendor preset:無効)

Active: Active(running)2019-01-21 10:25336030 UTC; 33秒前

docs: https://documentation.wazuh.com/current/user-manual/api/index.html

メインPID: 15454(ノード)

cgroup: /system.slice/wazuh-api.service

and-15454/bin/node /var/ossec/api/app.js

1月21日10:25:30 WAZHU-MANAGE SYSTEMD [1] :はWazuh API Daemonを開始しました。

自動アップグレードを防ぐ:

#sed -i 's/^enabled=1/enabled=0/'/etc/yum.repos.d/wazuh.repo

v。 Wazuhエージェント

をインストールします

1。Centosの下にAgent:1.1をインストールします。パッケージインストール[root@wazhu-manage opt]#ls

wazuh-api-3.8.0-1.x86_64.rpmwazuh-manager-3.8.0-1.x86_64.rpm

[root@wazhu-manage opt]#wget https://packages.wazuh.com/3.x/yum/wazuh-agent-3.8.0-1.x86_64.rpm

[root@wazhu-manage opt]#chmod +x wazuh-agent-3.8.0-1.x86_64.rpm

[root@wazhu-manage opt]#rpm -ivh wazuh-agent-3.8.0-1.x86_64.rpm

警告: wazuh-agent-3.8.0-1.x86_64.rpm:ヘッダーV4 RSA/SHA1署名、キーID 2911145: nokey

ERROR:失敗依存関係:

Wazuh-ManagerはWazuh-Agent-3.8.0-1.x86_64と競合します

Wazuh-Agentは(インストールされた)Wazuh-Manager-3.8.0-1.x86_64との競合です

#構成ファイルvim /var/ossec/etc/ossec.confを変更する#キー/var/ossec/bin/manage_agentsのインポート#service/var/ossec/bin/ossec-control Start

1.2。 Yumのインストール:cat /etc/yum.repos.d/wazuh.repo \ eof

[wazuh_repo]

gpgcheck=1

gpgkey=https://packages.wazuh.com/key/gpg-key-wazuh

有効=1

name=wazuhリポジトリ

baseurl=https://packages.wazuh.com/3.x/yum/

保護=1

EOF

[root@wazhu-manage opt]#yumインストールwazuh-agent

2。Ubuntuの下にAgent2.1をインストールします。 root@agent01:〜#cd /optをインストールします

root@agent01:/opt#wget https://packages.wazuh.com/3.x/apt/pool/main/w/wazuh-agent/wazuh-agent_3.8.0-1_amd64.deb

root@agent01:/opt#dpkg -i wazuh-agent_3.8.0-1_amd64.deb

以前に選択されていないパッケージWazuh-Agentを選択します。

(データベースの読み取り. 92845ファイルとディレクトリが現在インストールされています。)

wazuh-agent_3.8.0-1_amd64.debを開梱する準備.

Wazuh-Agentの開梱(3.8.0-1).

Wazuh-Agentのセットアップ(3.8.0-1).

SystemDのトリガーの処理(229-4ubuntu21.4).

尿素の処理トリガー(0.100.0-19).

2.2。 apt-getインストール#apt-get install curl apt-transport-https lsb-release #install install in spece

#curl -s https://packages.wazuh.com/key/gpg-key-wazuh | apt -key add- #installing wazuhリポジトリGPGキー

#echo'deb https://packages.wazuh.com/3.x/apt/stable main '| tee /etc/apt/sources.list.d/wazuh.list #Addリポジトリ

#apt-get update #updateパッケージ情報

#apt-get wazuh-agent #install wazuhエージェントをインストールします

#echo'wazuh-agent hold '| sudo dpkg - セット選択#disableアップデート

3. Agenthttps://Packages.wazuh.com/3.x/windows/wazuh-agent-3.8.0-1.msiをWindowsにインストールします

agent -auth.exe -m管理側IP -p '管理サイドパスワード

エージェント-Auth -M管理IP

vi。 弾性スタック

をインストールします

1。弾性スタックランニング環境パッケージのインストールLogstashとElasticsearchにはOracle Java JRE 8が必要です

[root@wazhu-manage opt]#curl -lo jre-8-linux-x64.rpm - header 'cookie: oraclelicense=Accept-securebackup-cookie' 'https://Download.oracle.com/otn-pub/java/jdk/8u202-b08/1961070e4c9b4e26a04e7f5a083f551e/jre-8u202-linux-x64.rpm' '

[root@wazhu-manage opt] Echo 'Javaパッケージは正常にダウンロードしませんでした」

Javaパッケージは正常にダウンロードされました

[root@wazhu-manage opt]#yum -yインストールjre-8-linux-x64.rpm

[root@wazhu -manage opt]#java -version

Javaバージョン '1.8.0_202'

Elastic RepositoryとそのGPGキー:をインストールします

[root@wazhu-manage opt]#rpm -import https://packages.lastic.co/gpg-key-elasticsearch

[root@wazhu-manage opt]#cat /etc/yum.repos.d/elastic.repo eof

[Elasticsearch-6.x]

name=6.xパッケージのElasticsearchリポジトリ

baseurl=https://Artifacts.Elastic.co/packages/6.x/yum

gpgcheck=1

gpgkey=https://Artifacts.Elastic.co/gpg-key-elasticsearch

有効=1

AutoreFresh=1

type=rpm-md

EOF

[root@wazhu-manage opt]#cat /etc/yum.repos.d/elastic.repo

[Elasticsearch-6.x]

name=6.xパッケージのElasticsearchリポジトリ

baseurl=https://Artifacts.Elastic.co/packages/6.x/yum

gpgcheck=1

gpgkey=https://Artifacts.Elastic.co/gpg-key-elasticsearch

有効=1

AutoreFresh=1

type=rpm-md

2。ElasticSearch[root@wazhu-manage opt]#yumインストールElasticsearch-6.5.4

[root@wazhu-manage opt] #SystemCtl Daemon-Reload

[root@wazhu-manage opt]#systemctl enable elasticsearch.serviceを有効にします

/etc/systemd/system/multi-user.target.wants/elasticsearch.serviceからSymlinkから作成されたSymlinkは、/usr/lib/systemd/system/Elasticsearch.service。

[root@wazhu-manage opt] #SystemCtl Start ElasticSearch.Service

[root@wazhu-manage opt] #SystemCtl Status ElasticSearch.Service

ElasticSearch.Service -Elasticsearch

loaded: loaded(/usr/lib/systemd/system/elasticsearch.service; enabled; vendor preset: disabled)

Active: Active(running)2019-01-21 11:20:32 UTC; 12秒前

docs: http://www.elastic.co

メインPID: 16541(Java)

cgroup: /system.slice/elasticsearch.service

├马云惹不起马云马云惹不起马云16541 /bin /java -xms1g -xmx1g -xx:+useconcmarksweepgc -xx3360cmsinitia .

└└)/usr/share/elasticsearch/modules/x-pack-ml/platform/linux-x86 .

ElasticSearchサーバーがスタートアップを完了するのを待つことが非常に重要です。次のコマンドを使用して、現在のステータスを確認します。これにより、次のように応答が表示されます。

[root@wazhu-manage opt]#curl 'http://localhost:9200/?light'

{

「名前」: 'J2IH056'、

'cluster_name' : 'elasticsearch'、

'cluster_uuid' : 'ihtopid4sr-eoz5qx73-kw'、

'バージョン' : {

「番号」: '6.5.4'、

'build_flavor' : 'デフォルト'、

'build_type' : 'rpm'、

'build_hash' : 'd2ef93d'、

'build_date' : '2018-12-17T21:17336040.758843Z'、

'build_snapshot' : false、

'lucene_version' : '7.5.0'、

'Minimum_wire_compatibility_version' : '5.6.0'、

'Minimum_index_compatibility_version' : '5.0.0'

}、

「キャッチフレーズ」: 'あなたが知っている、検索のために'

}

ElasticSearch用のWazuhテンプレートのロード:( KibanaのWazuhアプリケーションでは、Elasticsearchテンプレートが適切に機能する必要があるため、正しく挿入されることを確認することが非常に重要です。)

[root@wazhu-manage opt]#curl https://raw.githubusercontent.com/wazuh/wazuh/3.8/extensions/elasticsearch/wazuh-elastic6-template-alerts.json | curl -x put 'http://localhost:9200/_template/wazuh' -h 'content -type:アプリケーション/json' -d @ -

%合計%re